Curve Finance đang phải đối mặt với các vụ tấn công rất nghiêm trọng liên quan đến nhiều pool thanh khoản, điều này đang làm dấy lên lo ngại về một sự kiện domino mới của thị trường.
Timeline sự việc
Bắt đầu từ ngày 21/07, nền tảng Omni pool Conic Finance của Curve bị hacker tấn công với thiệt hại là khoảng 1.700 ETH. Nguyên nhân gốc đến từ hợp đồng CurveLPOracleV2 mới, hacker đã tận dụng lỗ hổng reentrancy attack lặp đi lặp lại lệnh rút tiền trước khi oracle kịp cập nhật đúng số dư.
Ngay sau đó, phía Curve Finance cũng đã lên tiếng đính chính rằng hợp đồng trên dù được đặt theo tên của Curve, song nó hoàn toàn do đội ngũ Conic lập trình. Vì một vài sai sót trong khâu cấu hình đã dẫn tới lỗ hổng khiến thất thoát tài sản.
Tiếp theo vào tối 30/07, một loạt các dự án đã bị tấn công pool thanh khoản trên Curve. Đó là dự án Lending NFT JPEG’d với thiệt hại số tiền lên đến 11 triệu USD, Metronome với thiệt hại là 1,6 triệu USD, alETH của Alchemix thiệt hại ước tính 13,6 triệu USD, deBridge và Ellipsis với tổng thiệt hại ước tính 26,76 triệu USD.
Rạng sáng ngày 31/07, tiếp tục xuất hiện thông tin pool CRV/ETH đã bị tấn công, bòn rút đi 7 triệu CRV (4 triệu USD) và 14 triệu USD WETH. Đáng chú ý, vụ tấn công xảy ra chỉ ít phút trước khi các hacker mũ trắng tiến hành một chiến dịch giải cứu những pool thanh khoản bị ảnh hưởng bởi lỗ hổng reentrancy được phát hiện vào tối 30/07.
Nguyên nhân
Đây là những lỗ hổng trong 3 phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang. Theo đó, bộ lọc chống tấn công Re-Entrancy của các phiên bản mới không khả dụng, dẫn đến việc hàng loạt vụ tấn công tạo vòng lập nhằm rút tiền từ các pool thanh khoản. Curve cũng đã xác nhận nguyên nhân này và kêu gọi các bên bị ảnh hưởng liên hệ trực tiếp đến họ.
Một lí do khác, được chia sẻ trong một tài liệu của ChainSecurity, đó là hàm “get_virtual_price” (vốn để xác định giá thị trường của các LP Token) của Curve Finance có thể được tận dụng để các hacker ReEntrancy, thao túng chỉ số giá oracle và từ đó tạo vòng lặp rút tiền. Nhiều khả năng vụ tấn công Conic Finance là từ nguyên nhân này.
Tình hình hiện tại
Vì vụ tấn công, các nhà đầu tư đang đồng loạt rút tài sản của mình khỏi các pool thanh khoản trên Curve, khiến TVL của dự án giảm gần 45% trong 24h gần nhất.
Khoảng thời gian rạng sáng ngày 31/07 cũng là vô cùng hỗn loạn khi nhiều hacker mũ trắng cố gắng thực hiện các giao dịch để cứu tiền từ Curve, còn kẻ xấu thì chực chờ để front run họ, để rồi cả hai đều bị front run bởi bot MEV. Cuộc chiến MEV diễn ra gay gắt đến nỗi trong 12 giờ gần nhất, Ethereum đã lần lượt ghi nhận các block có phần thưởng MEV cao nhất từ trước đến giờ.
Trong khi đó ví của Nhà sáng lập Curve đang có những diễn biến vô cùng phức tạp khi Curve đứng trước nguy cơ bị thanh lý hàng trăm triệu USD thế chấp CRV. Ông Michael Egorov là người nắm giữ đến 47% lượng cung lưu hành của CRV, thế chấp gần 305 triệu CRV (trị giá 167 triệu USD ở thời điểm viết bài)để vay gần 70 triệu USD stablecoin USDT và USDC trên Aave.
Chưa dừng lại ở đó, Egorov còn vay 17,2 triệu USD FRAX trên Fraxlend, thế chấp bằng 59,1 triệu CRV (32,3 triệu USD); và vay 14,3 triệu USD MIM trên Abracadabra, thế chấp bằng 49,9 triệu CRV. Vì mức vay trên Fraxlend lên đến tối đa tín dụng, lãi vay của Egorov sẽ tăng gấp đôi sau mỗi 12 giờ. Ước tính sau 4 ngày nữa, lãi APY của nhà sáng lập Curve sẽ là 10.000% trừ khi giảm thiểu vị thế vay hoặc nạp thêm thế chấp.
Hiện tại ví của Michael Egorov đang liên tục nhận USDT và tiến hành nạp USDT lên Fraxlend cũng như mua MIM. sau đó chuyển CRV sang ví lạ. Động thái này được cho rằng nhà sáng lập Curve đang muốn bán token dưới dạng OTC, từ đó giảm thiểu những áp lực từ lãi vay trên Fraxlend và Abracadabra.
Theo Lookonchain, người sáng lập Curve Michael Egorov đã bán 5 triệu CRV cho Justin Sun thông qua các giao dịch OTC với mức giá 0,4 USD. Ngoài Sun, có 7 địa chỉ thực hiện giao dịch OTC với Michael Egorov với 0,4 USD. 0xSifu, cựu CFO của Frog Nation, cho biết ông cũng đã được liên hệ để giao dịch OTC và có thời gian khóa 6 tháng.
Với những động thái kể trên, các vị thế trên Abracadabra và FraxLend cũng đang đần được giảm đòn bẩy. Chỉ số sức khoẻ khoản vay (Health Rate) trên Abracadabra đang là 1.60 và trên FraxLend là 1.82. Theo nhận định cá nhân của mình, việc bán token OTC và lock 6 tháng như này sẽ giải quyết được bài toán thanh lý trên onchain trong ngắn hạn. Nhưng về dài hạn, sức khỏe của token $CRV và dự án đang bị đe dọa khi những vấn đề về Smart Contract vẫn chưa được khắc phục và nguy cơ bị tấn công luôn thường trực.
Hãy tiếp tục theo dõi Coin Moi để được cập nhất những tin tức mới nhất trong thị trường nhé!