- Curve Finance phải đối mặt với nhiều vụ khai thác trên liquidity pools (nhóm thanh khoản) của mình, dẫn đến tổn thất đáng kể cho các dự án như Conic Finance, JPEG’d, Metronome và Alchemix.
- Các lý do được suy đoán bao gồm các lỗ hổng trong các phiên bản ngôn ngữ lập trình và thao túng chức năng “get_virtual_price”, nêu bật nhu cầu về các biện pháp bảo mật nâng cao trong không gian DeFi.
Curve Finance, một giao thức Tài Chính Phi Tập Trung (DeFi) nổi bật, đã phải đối mặt với làn sóng tấn công vào các nhóm thanh khoản của nó, dẫn đến tổn thất đáng kể cho nhiều dự án.
Sự cố gần đây, liên quan đến Conic Finance, JPEG’d, Metronome và Alchemix, đã gây lo ngại trong cộng đồng DeFi. Chuỗi các cuộc tấn công bắt đầu với Conic Finance vào ngày 21 tháng 7, trong đó tài sản bị cạn kiệt do kết nối với LP Tokens trên Curve Finance. Sau đó, vào ngày 30 tháng 7, dự án Lending NFT JPEG’d đã báo cáo một lỗ hổng liên quan đến nhóm thanh khoản pETH-ETH trên Curve Finance, dẫn đến khoản lỗ 11 triệu USD.
Cùng ngày, Metronome cũng bị lỗ 1,6 triệu đô la sau một vụ khai thác tương tự. Ngoài ra, Alchemix’s alETH đã trở thành nạn nhân, chịu khoản lỗ ước tính 13,6 triệu đô la liên quan đến nhóm thanh khoản trên Curve.
Lý do chính xác đằng sau những khai thác này vẫn chưa được tiết lộ đầy đủ vào thời điểm này. Tuy nhiên, cộng đồng đã suy đoán hai yếu tố chính: Đầu tiên, các lỗ hổng trong phiên bản 0.2.15/0.2.16/0.3.0 của ngôn ngữ lập trình VyperLang bị nghi ngờ. Các phiên bản này thiếu bộ lọc chống tấn công Re-Entrancy, cho phép tin tặc thực hiện các cuộc tấn công làm tròn và rút tiền từ nhóm thanh khoản.
Phỏng đoán thứ hai, được nêu trong tài liệu ChainSecurity, tập trung vào chức năng “get_virtual_price” của Curve Finance . Chức năng này, xác định giá thị trường của LP Tokens, có khả năng có thể bị tin tặc Re-Entrancy thao túng để tạo vòng rút tiền và thao túng chỉ số giá oracle.
Đáng chú ý, tài liệu ChainSecurity làm rõ rằng lỗ hổng này không ảnh hưởng đến nội bộ nhóm Curve. Thay vào đó, nó có thể ảnh hưởng đến các nền tảng sử dụng LP Tokens của Curve làm tài sản thế chấp, cho phép rút tiền sai khoản vay.
Curve Finance và các dự án bị ảnh hưởng có khả năng hợp tác chặt chẽ với cộng đồng để phân tích và giải quyết nguyên nhân gốc rễ của các cuộc tấn công này. Hệ sinh thái DeFi cần triển khai các biện pháp bảo mật mạnh mẽ và thúc đẩy tính minh bạch để tạo niềm tin cho người dùng và duy trì sự phát triển bền vững của lĩnh vực DeFi.
