News Các pool thanh khoản trên Curve Finance liên tục bị tấn công

Sau sự cố của Conic Finance và JPEG'd, hàng loạt các dự án có liên quan đến pool thanh khoản trên Curve Finance cũng bị tấn công.

1690763103513.png

Những vụ tấn công liên quan đến pool thanh khoản của Curve​

Câu chuyện không chỉ bắt đầu từ tuần này, mà thậm chí là từ tuần trước (21/07), khi Conic Finance bị bòn rút tài sản vì có một vài liên hệ với LP Token trên Curve Finance.

Sau đó, vào tối 30/07, dự án Lending NFT JPEG'd cũng thông báo bị exploit pool thanh khoản pETH-ETH trên Curve Finance, thất thoát số tiền lên đến 11 triệu USD.


Một dự án khác cũng được réo tên trong tối 30/07 là Metronome với thiệt hại sau vụ exploit là 1,6 triệu USD.


alETH của Alchemix cũng là nạn nhân và cũng khởi nguồn từ một pool thanh khoản trên Curve, thiệt hại ước tính 13,6 triệu USD.


Sau đó, tiếp tục có báo cáo về việc lỗ hổng đã được ghi nhận tại deBridgeEllipsis, với tổng thiệt hại tính đến 00:00 AM ngày 31/07 là 26,76 triệu USD.


Vậy lý do là gì?​

Ở thời điểm bài viết, vẫn chưa có một báo cáo chi tiết về lí do chính xác của hàng loạt vụ exploit liên quan đến pool thanh khoản của Curve. Hiện tại, có 2 lí do chính được cộng đồng phỏng đoán.

Đầu tiên là những lỗ hổng trong 3 phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang. Theo đó, bộ lọc chống tấn công Re-Entrancy của các phiên bản mới không khả dụng, dẫn đến việc hàng loạt vụ tấn công tạo vòng lập nhằm rút tiền từ các pool thanh khoản.

Một lí do khác, được chia sẻ trong một tài liệu của ChainSecurity, đó là hàm "get_virtual_price" (vốn để xác định giá thị trường của các LP Token) của Curve Finance có thể được tận dụng để các hacker Re-Entrancy, thao túng chỉ số giá oracle và từ đó tạo vòng lặp rút tiền.

Tài liệu trên từ ChainSecurity cho rằng lỗ hổng này không ảnh hưởng đến nội bộ các pool Curve, thay vào đó, nó khiến các nền tảng sử dụng LP Token của Curve để làm tài sản thế chấp có thể bị rút tiền dưới dạng khoản vay khống.

Như vậy, từ những dữ kiện trên, có thể thấy các vụ tấn công cũ như Conic nhiều khả năng là trường hợp 2. Còn các vụ exploit mới đây với nội bộ các pool của Curve (Alchemix, JPEG'd hay Metronome) có thể nó đến từ trường hợp đầu tiên.

Cập nhật từ đội ngũ​

Từ những chia sẻ từ đội ngũ Curve, hiện tại các pool Volatile và các pool liên quan đến stETH,frxETH, cbETH, rETH, sETH vẫn an toàn.


Curve sau đó cũng xác nhận việc các pool thanh khoản kể trên gặp vấn đề liên quan đến ngôn ngữ lập trình Vyper phiên bản 0.2.15, 0.2.16 và 0.3.0. Cả dự án lẫn đơn vị phát triển Vyper đều tuyên bố đang điều tra nguyên nhân và kêu gọi các bên bị ảnh hưởng liên hệ trực tiếp đến họ.


Một chuyên gia bảo mật ẩn danh có tài khoản Twitter là pcaversaccio tuyên bố đang tiến hành "một chiến dịch giải cứu quy mô lớn" cho các pool có nguy cơ liên đới, kêu gọi những dự án bị ảnh hưởng hãy liên hệ.


Token CRV cũng đang có một vài biến động nhất định, giảm hơn 4,5% về 0.699 USD.

1690763253753.png
 

Announcements

Today's birthdays

Forum statistics

Threads
426,330
Messages
7,175,247
Members
178,776
Latest member
yazzz

Most viewed of week

Most discussed of week

Most viewed of week

Most discussed of week

Back
Top Bottom