Các pool thanh khoản trên Curve Finance liên tục bị tấn công

Vào ngày 30 tháng 7, nhiều stable pool trên Curve Finance sử dụng Vyper đã bị tấn công với thiệt hại hơn 47 triệu đô la. Theo Vyper, các phiên bản 0.2.15, 0.2.16 và 0.3.0 của họ có lỗ hổng tái nhập gây sự cố.

"Cuộc điều tra đang tiếp diễn, nhưng bất kỳ dự án nào dựa vào những phiên bản này nên liên hệ ngay với chúng tôi," Vyperi cho biết trên X. Dựa vào một phân tích của các hợp đồng bị ảnh hưởng bởi công ty an ninh Ancilia, có 136 hợp đồng sử dụng Vyper 0.2.15 với tính năng bảo vệ người đăng ký lại, 98 hợp đồng sử dụng Vyper 0.2.16 và 226 hợp đồng sử dụng Vyper 0.3.0.

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

Theo điều tra ban đầu, một số phiên bản của trình biên dịch Vyper không thực hiện đúng cơ chế bảo vệ tái truy cập, điều này ngăn chặn việc thực thi nhiều chức năng cùng một lúc bằng cách khóa một hợp đồng. Các cuộc tấn công tái truy cập có thể tiềm ẩn nguy cơ làm cạn kiệt toàn bộ tài sản từ một hợp đồng.

Vyper là một ngôn ngữ lập trình Pythonic, hướng đến hợp đồng, sử dụng định dạng Python, nhắm đến Máy ảo Ethereum (EVM). Sự tương đồng của Vyper với Python làm cho ngôn ngữ này trở thành một trong những điểm xuất phát cho các nhà phát triển Python chuyển đổi sang Web3.

Một số dự án tài chính phi tập trung đã bị ảnh hưởng bởi cuộc tấn công. Sàn giao dịch phi tập trung Ellipsis báo cáo rằng một số ít stable pool với BNB đã bị tấn công bằng cách sử dụng trình biên dịch Vyper cũ. Alchemix's alETH-ETH cũng chứng kiến việc rút tiền 13,6 triệu đô la, cùng với 11,4 triệu đô la bị tấn công trên pool JPEGd’s pETH-ETH, và 1,6 triệu đô la trong pool sETH-ETH của Metronome. CEO Curving Finance Michael Egorov sau đó xác nhận 32 triệu token CRV trị giá hơn 22 triệu đô la đã bị rút khỏi swap pool trong một kênh Telegram.

Certain type of Curve factory pool is encountering read-only reentrancy attack and causing a total loss of $11m(@JPEGd_69) + $13m(@AlchemixFi) + ...

Initial investigation founds that vyper compiler (0.2.15) doesn't implement the reentrancy guard correctly.

add_liquidity and… pic.twitter.com/avaHdtSFsm

— Tony KΞ (@tonyke_bot) July 30, 2023

Cuộc tấn công đã gây ra sự hoảng loạn trên toàn hệ sinh thái DeFi, thúc đẩy một loạt các giao dịch giữa các pool và một hoạt động giải cứu từ hacker mũ trắng. Dữ liệu từ CoinMarketCap cho thấy token tiện ích Curve DAO (CRV) của Curve Finance giảm hơn 5% trong phản ứng với tin tức này. Độ thanh khoản của CRV đã giảm đáng kể trong những tháng gần đây, khiến nó trở nên dễ giảm giá trước những biến động giá mạnh. Theo Curve Finance, các hợp đồng crvUSD và bất kỳ pool nào liên quan cũng không bị ảnh hưởng bởi cuộc tấn công.

Curve Finance là một giao thức DeFi cho phép trao đổi phi tập trung (DEX) của các stablecoin trên Ethereum. Giao thức này đã bị nhắm mục tiêu bởi một loạt các sự cố trong hệ sinh thái của nó. Chỉ cách đây vài ngày, nền tảng omnipool của họ, Conic Finance, đã bị tấn công giả mạo 3,26 triệu Ether (ETH), với gần như toàn bộ số tiền bị đánh cắp gửi đến một địa chỉ Ethereum mới trong một giao dịch duy nhất.

Các giao thức DeFi đã bị nhắm mục tiêu bởi nhiều cuộc tấn công trong những tháng gần đây. Theo báo cáo của ứng dụng danh mục Web3 De.Fi, hơn 204 triệu đô la đã bị lấy cắp thông qua các cuộc tấn công và lừa đảo DeFi trong quý 2 năm 2023.