- Nhà triển khai MEV Bot đã tự nguyện trả lại ETH trị giá 5,4 triệu đô la cho Curve Finance, giúp giảm thiểu thiệt hại do việc khai thác gây ra.
- Curve Finance bị lỗ 52 triệu đô la do một cuộc tấn công gây ra bởi lỗi khóa đệ quy Vyper ảnh hưởng đến một số phiên bản nhất định của ngôn ngữ lập trình Ethereum.
- Các giao thức DeFi, bao gồm cả Alchemix, đang thực hiện các biện pháp phòng ngừa sau khi lỗ hổng được phát hiện.
Trong một sự cố gần đây, giao thức Tài Chính Chi Tập Trung (DeFi), Curve Finance đã phải đối mặt với một cuộc tấn công dẫn đến khoản lỗ 52 triệu USD từ nhóm stablecoin alETH/msETH/pETH. Cuộc tấn công được quy cho một lỗ hổng được tìm thấy trong một số phiên bản nhất định của Vyper, ngôn ngữ lập trình hợp đồng Ethereum Virtual Machine (EVM).
Việc khai thác, gây ra bởi lỗi Vyper recursive, đã ảnh hưởng đến các phiên bản 0.2.15, 0.2.16 và 0.3.0 của ngôn ngữ. Do lỗ hổng nghiêm trọng này, nhiều giao thức DeFi khác nhau đã phải trải qua một cuộc kiểm tra căng thẳng khi các cơ quan an ninh đang theo dõi chặt chẽ tình hình.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Trong cuộc tấn công, nhiều nhóm thanh khoản trên Curve Finance, bao gồm aETH/ETH, msETH/ETH, pETH/ETH và CRV/ETH, đã bị những kẻ tấn công nhắm mục tiêu. Các tác nhân độc hại đã rút cạn hoàn toàn các nhóm này bằng cách sử dụng lỗ hổng reentrancy lock. Curve Finance xác nhận rằng tất cả các nhóm còn lại vẫn không bị ảnh hưởng và an toàn.
Please note that this reentrancy issue is associated with the use of ‘use_eth’, which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Hành động kịp thời đã được Curve Finance thực hiện sau vụ tấn công. Người triển khai sớm “MEV Bot”, được xác định là c0ffeebabe.eth, đã tự nguyện trả lại 2.879,54 ETH, trị giá khoảng 5,4 triệu đô la, cho người triển khai Curve Finance. Cử chỉ này thể hiện nỗ lực giảm thiểu thiệt hại do việc khai thác gây ra.
#PeckShieldAlert c0ffeebabe.eth has returned 2,879 $ETH (~$5.4m) to #Curve deployer https://t.co/33BJLaq12A pic.twitter.com/2Jq0JOsrhV
— PeckShieldAlert (@PeckShieldAlert) July 31, 2023
Vụ việc đã thúc đẩy các cuộc thảo luận trong cộng đồng DeFi về tính an toàn và bảo mật của hợp đồng thông minh. Tài liệu chính thức của Vyper được phát hiện đề xuất phiên bản cài đặt sai, góp phần vào lỗ hổng bị kẻ tấn công khai thác.
Một trong những dự án bị ảnh hưởng, Alchemix, đã nhanh chóng hành động khi nhận được thông báo từ Curve Finance về cuộc tấn công vào nhóm alETH/ETH do lỗi Vyper. Alchemix đã nhanh chóng bắt đầu quy trình xóa AMO (mã thông báo độc quyền của Alchemix) khỏi nhóm Curve thông qua tính di động kiểm soát của hợp đồng AMO. Cần lưu ý rằng bản thân hợp đồng thông minh Alchemix vẫn không thỏa hiệp, đảm bảo an toàn cho tiền của người dùng.
UPDATE ON THE CURVE SITUATION@CurveFinance notified Alchemix on 30th July of a potential exploit on their alETH / ETH pool due to a Vyper bug. Alchemix worked quickly to begin to remove AMO-controlled liquidity from the curve pool via the AMO contract.
— Alchemix (@AlchemixFi) July 30, 2023
Tuy nhiên, nhóm alETH/ETH Curve đã bị lỗ khoảng 5.000 ETH trong quá trình loại bỏ thanh khoản còn lại do AMO kiểm soát. Do đó, Alchemix khuyên người dùng của mình không nên cung cấp tính thanh khoản trong nhóm Curve Finance alETH/ETH. Mặc dù việc cung cấp thanh khoản cho alETH ở những nơi khác có thể an toàn về mặt kỹ thuật, nhưng người dùng vẫn phải thận trọng vì những kẻ tấn công có thể khai thác tính thanh khoản vì lợi ích của họ.
Vụ việc nêu bật tầm quan trọng của việc kiểm tra bảo mật cẩn trọng cũng như nhu cầu theo dõi và cập nhật liên tục trong bối cảnh DeFi đang phát triển nhanh chóng. Các nhà phát triển và người dùng được khuyến khích cảnh giác và thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ chống lại các hành vi khai thác tiềm ẩn trong các giao thức DeFi.
Để đối phó với sự cố, các nhà phát triển đằng sau Vyper đã thông báo rằng các khóa đệ quy của các phiên bản bị ảnh hưởng, 0.2.15, 0.2.16 và 0.3.0, hiện được coi là không hợp lệ. Hành động này nhằm ngăn chặn các sự cố tiếp theo phát sinh từ cùng một lỗ hổng trong các giao thức khác dựa vào Vyper cho các hợp đồng thông minh của họ.
Như Blog Tiền Số đã báo cáo, Aave đã chấp nhận một đề nghị khẩn cấp để hủy kích hoạt khoản vay CRV trên Ethereum. Việc cấm này nhằm ngăn chặn các nhà giao dịch lạm dụng các lỗ hổng của Curve và đam mê việc bán khống CRV đã vay một cách ác ý, điều này có thể dẫn đến việc thanh lý nhiều lần.
