Ngày 30/7, hệ sinh thái DeFi của Ethereum gặp một sự cố bảo mật khi giao thức Curve Finance bị tấn công một số pool stablecoin.
Điểm yếu xuất phát từ lỗi reentrancy trong ngôn ngữ lập trình Vyper tại các phiên bản 0.2.15, 0.2.16 và 0.3.0, được sử dụng trong một số phần của hệ thống Curve. Các phiên bản này dính lỗi khiến cho cơ chế bảo vệ không hoạt động đúng cách, cho phép kẻ tấn công rút tiền từ các hợp đồng thông minh.
Nhóm tấn công đã tận dụng lỗi này để tiến hành tấn công vòng lặp vào Curve, bán phá giá và rút thanh khoản pool alETH/msETH/pETH. Các nhà phân tích của công ty kiểm toán blockchain BlockSec ước tính thiệt hại của vụ tấn công hơn 42 triệu USD.
Theo 23pds, giám đốc an ninh của SlowMist, tài liệu chính thức mà Vyper đề xuất thực sự là một phiên bản sai và họ không biết điều đó, dẫn đến tin tặc khai thác từ lỗ hổng này.
CRV, token chính của Curve Finance bị ảnh hưởng lớn, ghi nhận giảm hơn 19% xuống mức 0,602 USD và đang giao dịch ở 0,627 USD tại thời điểm báo chí.
Tính đến thời điểm gần đây, theo dữ liệu DeBank, người sáng lập Curve, Michael Egorov, đã gửi tổng cộng 431 triệu CRV vào nhiều giao thức cho vay DeFi để vay 101,5 triệu USD stablecoin, bao gồm:
- Gửi 288,4 triệu CRV đến Aave, vay 63,44 triệu USDT;
- Gửi 79,4 triệu CRV đến Abracadabra, vay 20,5 triệu MIM;
- Gửi 46,65 triệu CRV đến Fraxlend, vay 12,86 triệu FRAX;
- Gửi 16 triệu Curves đến Inverse, vay 4,68 triệu DOLA.
Song song với giá CRV, tổng giá trị tài sản khóa (TVL) của Curve Finance giảm từ 3,266 tỷ USD trước vụ tấn công, xuống còn 1,869 tỷ USD, giảm 42,5% trong ngày, theo dữ liệu của DeFiLlama.
Các vụ tấn công DeFi thường xuyên xảy ra, cảnh báo chúng ta rằng việc đảm bảo tính bảo mật và an toàn của các hợp đồng thông minh và các giao thức DeFi là rất quan trọng. Cần phải có sự hợp tác chặt chẽ giữa các nhà phát triển và cộng đồng DeFi để tăng cường các biện pháp bảo mật và giảm thiểu rủi ro liên quan đến việc sử dụng các nền tảng tài chính phi tập trung.