Sau sự cố của Conic Finance và JPEG’d, hàng loạt các dự án có liên quan đến pool thanh khoản trên Curve Finance cũng bị tấn công.
Cập nhật sáng ngày 31/07/2023
Rạng sáng ngày 31/07, tiếp tục xuất hiện thông tin pool CRV/WETH đã bị tấn công, bòn rút đi 7 triệu CRV và 14 triệu USD WETH. Đáng chú ý, vụ tấn công xảy ra chỉ ít phút trước khi các hacker mũ trắng tiến hành một chiến dịch giải cứu những pool thanh khoản bị ảnh hưởng bởi lỗ hổng reentrancy được phát hiện vào tối 30/07.
Tổng lại, thiệt hại từ lỗ hổng reentrancy của Curve đã đạt mức hơn 41 triệu USD.
Giá CRV sau đó đã có lúc dump hơn 15% về mốc 0.583 USD, trước khi phục hồi lên 0.623 ở thời điểm cập nhật.
Vì vụ tấn công, sàn giao dịch crypto lớn nhất Hàn Quốc là Upbit đã thông báo tạm dừng hoạt động nạp, rút CRV.
Những vụ tấn công liên quan đến pool thanh khoản của Curve
Câu chuyện không chỉ bắt đầu từ tuần này, mà thậm chí là từ tuần trước (21/07), khi Conic Finance bị bòn rút tài sản vì có một vài liên hệ với LP Token trên Curve Finance.
Sau đó, vào tối 30/07, dự án Lending NFT JPEG’d cũng thông báo bị exploit pool thanh khoản pETH-ETH trên Curve Finance, thất thoát số tiền lên đến 11 triệu USD.
Một dự án khác cũng được réo tên trong tối 30/07 là Metronome với thiệt hại sau vụ exploit là 1,6 triệu USD.
alETH của Alchemix cũng là nạn nhân và cũng khởi nguồn từ một pool thanh khoản trên Curve, thiệt hại ước tính 13,6 triệu USD.
Sau đó, tiếp tục có báo cáo về việc lỗ hổng đã được ghi nhận tại deBridge và Ellipsis, với tổng thiệt hại tính đến 00:00 AM ngày 31/07 là 26,76 triệu USD.
Vậy lý do là gì?
Ở thời điểm bài viết, vẫn chưa có một báo cáo chi tiết về lý do chính xác của hàng loạt vụ exploit liên quan đến pool thanh khoản của Curve. Hiện tại, có 2 lý do chính được cộng đồng phỏng đoán.
Đầu tiên là những lỗ hổng trong 3 phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang. Theo đó, bộ lọc chống tấn công Re-Entrancy của các phiên bản mới không khả dụng, dẫn đến việc hàng loạt vụ tấn công tạo vòng lập nhằm rút tiền từ các pool thanh khoản.
Một lí do khác, được chia sẻ trong một tài liệu của ChainSecurity, đó là hàm “get_virtual_price” (vốn để xác định giá thị trường của các LP Token) của Curve Finance có thể được tận dụng để các hacker Re-Entrancy, thao túng chỉ số giá oracle và từ đó tạo vòng lặp rút tiền.
Tài liệu trên từ ChainSecurity cho rằng lỗ hổng này không ảnh hưởng đến nội bộ các pool Curve, thay vào đó, nó khiến các nền tảng sử dụng LP Token của Curve để làm tài sản thế chấp có thể bị rút tiền dưới dạng khoản vay khống.
Như vậy, từ những dữ kiện trên, có thể thấy các vụ tấn công cũ như Conic nhiều khả năng là trường hợp 2. Còn các vụ exploit mới đây với nội bộ các pool của Curve (Alchemix, JPEG’d hay Metronome) có thể nó đến từ trường hợp đầu tiên.
Cập nhật từ đội ngũ
Từ những chia sẻ từ đội ngũ Curve, hiện tại các pool Volatile và các pool liên quan đến stETH,frxETH, cbETH, rETH, sETH vẫn an toàn.
Curve sau đó cũng xác nhận việc các pool thanh khoản kể trên gặp vấn đề liên quan đến ngôn ngữ lập trình Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0. Cả dự án lẫn đơn vị phát triển Vyper đều tuyên bố đang điều tra nguyên nhân và kêu gọi các bên bị ảnh hưởng liên hệ trực tiếp đến họ.
Một chuyên gia bảo mật ẩn danh có tài khoản Twitter là pcaversaccio tuyên bố đang tiến hành “một chiến dịch giải cứu quy mô lớn” cho các pool có nguy cơ liên đới, kêu gọi những dự án bị ảnh hưởng hãy liên hệ.
Token CRV cũng đang có một vài biến động nhất định, giảm hơn 4,5% về 0.699 USD.