Curve Finance, một sàn giao dịch phi tập trung phổ biến gần đây đã phải đối mặt với một vi phạm bảo mật nghiêm trọng ảnh hưởng đến nhiều nhóm Ethereum và nhóm thanh khoản dựa trên Arbitrum. Vụ việc xảy ra vào cuối tuần qua, dẫn đến vụ trộm hàng triệu đô la. Khi tình hình diễn ra, công ty bảo mật blockchain PeckShield đã cập nhật số tiền bị đánh cắp lên mức đáng báo động là 52 triệu đô la. DEX của Curve Finance cho phép người dùng hoán đổi các tài sản tương tự, chẳng hạn như Ethereum lấy Ethereum đã đặt cọc hoặc USDT của Tether lấy USDC của Circle.
Update #PeckShieldAlert There are ~$52M exploited so far from @AlchemixFi, @JPEGd_69, @MetronomeDAO,@DebridgeFinance, @Ellipsisfi and #Curve CRV-ETH https://t.co/o1j83HgCB3 pic.twitter.com/OoI6KyL05e
— PeckShieldAlert (@PeckShieldAlert) July 30, 2023
Curve Finance Tiết Lộ Thông Tin Về Vụ Hack
Nền tảng này đóng vai trò là một công cụ chênh lệch giá có giá trị dành cho các nhà giao dịch đang tìm cách tận dụng sự chênh lệch giá giữa các tài sản. Các báo cáo ban đầu chỉ ra rằng việc khai thác xảy ra vào Chủ nhật, dẫn đến thiệt hại hơn 24 triệu đô la. Tuy nhiên, diễn biến thời gian thực của vụ hack cho thấy số tiền cao hơn nhiều. Nhóm của sàn giao dịch đã xác nhận rằng vi phạm bảo mật đã ảnh hưởng đến ba nhóm thanh khoản, liên quan đến các mã thông báo được ghép nối với Ethereum (ETH) và mã thông báo quản trị Curve CRV.
Ngoài ra, một số mã thông báo ERC-20 được phát hành trên Alchemix (alETH), Metronome Synth (smETH) và JPEG’d (pETH) cũng đã bị xâm phạm do lỗ hổng trong các phiên bản cũ hơn của trình biên dịch Vyper. Vyper là ngôn ngữ lập trình thường được sử dụng để viết Hợp Đồng Thông Minh trên chuỗi khối Ethereum. Nhóm cốt lõi của ngôn ngữ thừa nhận rằng một số phiên bản lỗi thời dễ bị khai thác, khiến chúng trở thành mục tiêu của tin tặc. Một người đóng góp chính cho Vyper đã lên Twitter, gợi ý rằng tin tặc có thể đã dành một lượng thời gian đáng kể để nghiên cứu và xác định lỗ hổng.
Khi vi phạm bảo mật xảy ra, một sự phát triển đáng lo ngại khác đã xuất hiện liên quan đến nhóm thanh khoản dựa trên Vyper được triển khai trên giải pháp lớp 2, Arbitrum. Nhóm tại Curve Finance tiết lộ rằng nhóm Tricrypto, bao gồm USDC, wBTC và ETH, “có khả năng bị ảnh hưởng”. Mặc dù các chuyên gia bảo mật không phát hiện ra khai thác có lợi nhuận nào, nhưng nhóm đã khuyên các nhà cung cấp thanh khoản nên thoát khỏi nhóm này do tính dễ bị tổn thương của nó.
Đánh Giá Tác Động Và Tăng Cường An Ninh Cho Tương Lai
Vi phạm an ninh không chỉ giới hạn ở Curve Finance. Một sàn giao dịch phi tập trung khác, Ellipsis, hoạt động trên Chuỗi BNB, cũng đã báo cáo một vụ khai thác trong nhóm hoán đổi ổn định của mình vào cùng ngày cuối tuần. Tác động của việc khai thác không chỉ giới hạn ở các sàn giao dịch phi tập trung. Sàn giao dịch tiền điện tử của Hàn Quốc Upbit đã thực hiện các biện pháp phòng ngừa, tạm thời đình chỉ gửi và rút mã thông báo CRV.
Sàn giao dịch kêu gọi các thành viên của mình theo dõi chặt chẽ tình hình và thận trọng với sự biến động giá gia tăng xung quanh Curve Finance. Vụ việc đã làm dấy lên mối lo ngại trong cộng đồng Tài Chính Phi Tập Trung ( DeFi ), vì nó nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ trong lĩnh vực DeFi đang phát triển nhanh chóng. Lỗ hổng bảo mật trong các phiên bản cũ hơn của trình biên dịch Vyper nhấn mạnh nhu cầu kiểm tra và cập nhật liên tục để bảo vệ hợp đồng thông minh khỏi các hành vi khai thác tiềm năng.
Hơn nữa, việc khai thác trên các nhóm thanh khoản dựa trên Arbitrum đã thúc đẩy cộng đồng DeFi đánh giá lại các biện pháp bảo mật trên các giải pháp lớp 2. Khi nhu cầu về các giải pháp có thể mở rộng và chi phí thấp tăng lên, điều cần thiết là phải đảm bảo rằng các nền tảng lớp 2 này có thể chống lại các cuộc tấn công tiềm ẩn. Khi cuộc điều tra về vi phạm bảo mật vẫn tiếp tục, cộng đồng DeFi đang theo dõi chặt chẽ tình hình để hiểu toàn bộ mức độ thiệt hại và xác định các cách ngăn chặn các sự cố tương tự trong tương lai.
Trước những sự kiện này, các sàn giao dịch phi tập trung và các dự án DeFi khác có khả năng triển khai các giao thức bảo mật bổ sung và tiến hành kiểm toán nghiêm ngặt hơn để bảo vệ tiền của người dùng và duy trì niềm tin vào hệ sinh thái. Khi bối cảnh DeFi phát triển, tất cả các bên liên quan, bao gồm nhà phát triển, nhà cung cấp thanh khoản và người dùng, bắt buộc phải duy trì cảnh giác và ưu tiên bảo mật. Chỉ bằng cách chủ động giải quyết các lỗ hổng và liên tục cải thiện các biện pháp bảo mật, lĩnh vực DeFi mới có thể tiếp tục phát triển và thực hiện lời hứa chuyển đổi bối cảnh tài chính truyền thống.
