Tác giả: Xiyou, ChainCatcher

Hôm nay, cuộc tấn công vào nhóm quỹ của nền tảng Curve đã gây chú ý trên thị trường mã hóa. Tính đến thời điểm hiện tại, khoản lỗ của nhóm quỹ trên nền tảng Curve đã lên tới 52 triệu đô la Mỹ.

Vào ngày 31 tháng 7, theo dữ liệu của DeFiLlama, giá trị của tài sản mã hóa bị khóa trên nền tảng Curve là 1,7 tỷ đô la Mỹ, mức thấp mới kể từ tháng 1 năm 2021. Quy mô tài sản đã giảm khoảng 50% trong vòng 24 giờ. đạt Rơi khỏi top 10 và hiện xếp hạng 11.

Cuộc tấn công vào Curve đã gây ra một loạt phản ứng dây chuyền, liên quan đến nhiều ứng dụng DeFi. Sự biến động mạnh về giá của mã thông báo CRV ẩn chứa một cuộc khủng hoảng thanh lý trực tuyến tiềm ẩn. Trong số đó, nền tảng cho vay Aave đã vô hiệu hóa chức năng vay CRV. biến động giá xe CRV.

Khoảng thời gian này có thể nói là thời điểm đen tối nhất của Curve, liệu lần này có vượt qua khó khăn một cách suôn sẻ như trước?

Sự cố tấn công đã liên quan đến nhiều ứng dụng DeFi, những rủi ro tiềm ẩn là gì?

Giờ đây, khi mở trang web chính thức của Curve, điều đầu tiên đập vào mắt người dùng là lời nhắc bảo mật nhóm quỹ liên quan đến lỗ hổng Vyper: Do khóa truy cập lại của Vyper không thành công, quỹ sẽ sử dụng Vyper 0.2.15, 0.2.16 và 0.3. 0. Tính thanh khoản của pool đã bị cạn kiệt và nhóm đang đánh giá tác động. Các nhóm quỹ bị ảnh hưởng bao gồm alETH/ETH, msETH/ETH, pETH/ETH và CRV/ETH và phần còn lại của các nhóm quỹ không bị ảnh hưởng.

Sự cố tấn công nhóm quỹ Curve liên quan đến nhiều ứng dụng DeFi. Theo thống kê của tổ chức giám sát Paidun, tính đến thời điểm hiện tại, thiệt hại lũy kế của cuộc tấn công này vào khoảng 52 triệu đô la Mỹ.

Trong số đó, nhóm pETH-ETH được hình thành bởi pETH được phát hành bởi thỏa thuận cho vay NFT JPEG'd trên Curve đã mất khoảng 11 triệu đô la Mỹ và giá pETH của nó không được cố định và giá hiện tại là 862 đô la Mỹ; alETH-ETH nhóm của thỏa thuận cho vay DeFi Alchemix đã bị phá hủy Cuộc tấn công đã làm mất khoảng 13 triệu đô la và giá hiện tại của alETH là 1.246 đô la và nó vẫn ở trạng thái chưa được neo; khoảng 1,6 triệu đô la đã bị đánh cắp từ nhóm msETH/ETH của tài sản tổng hợp DeFi giao thức MetronomeDAO và chức năng mạng chính Metronome đã bị đình chỉ; CRV trên Curve Số tiền bị đánh cắp từ nhóm quỹ /ETH vượt quá 10 triệu đô la Mỹ; Ellipsis nền tảng DEX mất 68.000 đô la Mỹ; ứng dụng chuỗi chéo deBridge mất 24.000 đô la Mỹ, v.v.

Đồng thời, giá token gốc CRV của Curve biến động dữ dội trên chuỗi, cặp giao dịch CRV/WETH trên Uniswap từng giảm xuống 0,03 USD trong một khoảng thời gian ngắn (khoảng 3 giờ ngày 31/7), gần như bằng không. Giá hiện đã phục hồi về khoảng 0,63 đô la.

Hôm nay, Upbit, sàn giao dịch lớn nhất của Hàn Quốc, đã thông báo rằng do cuộc tấn công vào một số nhóm stablecoin của Curve, tính biến động của CRV cao và các dịch vụ gửi và rút tiền của Curve (CRV) đã bị đình chỉ.

Sự biến động dữ dội của giá CRV luôn ảnh hưởng đến tâm lý người dùng, bởi trên chuỗi có một số lượng lớn các vị thế cầm cố CRV, một khi giá CRV giảm xuống một mức giá nhất định, một lượng lớn CRV sẽ phải thanh lý, điều này thường gây ra một vòng xoáy chết chóc cho tài sản của nó .

Trong số đó, được quan tâm nhất là vị trí của Michael Egorov, người sáng lập Curve, người dùng đang lo lắng liệu vị trí CRV khổng lồ do ông nắm giữ có bị thanh lý và tạo ra phản ứng dây chuyền hay không.

Theo các tweet của nhà nghiên cứu 0xLoki, Michael Egorov đã cam kết tổng cộng 292 triệu CRV trên các nền tảng cho vay như Aave, FRAXlend, Abracadabr và Inverse, trị giá 181 triệu đô la và cho vay 110 triệu đô la. Giá thanh lý toàn diện là khoảng 0,4 đô la gần đó.

Trong số đó, Aave có vị thế lớn nhất, thế chấp 190 triệu CRV, vay 65 triệu đô la Mỹ, giá thanh lý là 0,37 đô la Mỹ. Thứ hai là thế chấp 46 triệu CRV trên FRAXlend, vay 21 triệu FRAX, giá thanh lý là 0,4 USD; Abracadabr gửi 40 triệu CRV, cho vay 18 triệu USD, giá thanh lý là 0,39 USD; gửi 16 triệu CRV trên Inverse, và cho vay 7 triệu USD, giá thanh lý là 0,4 USD.

Nếu CRV giảm xuống dưới 0,4 USD, toàn bộ 300 triệu CRV sẽ được thanh lý.

Tuy nhiên, đánh giá từ giá on-chain, CRV đã từng giảm xuống còn 0,03 đô la. Điều này chủ yếu là do cơ chế báo giá được áp dụng bởi thỏa thuận cho vay là cỗ máy tiên tri Chainlink để cung cấp giá. Cơ chế báo giá của Chainlink không dựa trên một dữ liệu trên chuỗi hoặc một DEX duy nhất, mà dựa trên giá trung bình có trọng số của dữ liệu trên chuỗi (DEX) và ngoài chuỗi (CEX), được tính theo tỷ lệ tương ứng theo khối lượng giao dịch.

Lấy chiếc CRV này làm ví dụ, giá trên Binance và OKX trong CEX chưa đạt 0,03 đô la Mỹ, Chainlink sẽ không báo giá 0,03 đô la Mỹ, nhưng giá sau khi cân nhắc nhiều bên. Theo dữ liệu, giá thấp nhất của Chainlink là 0,59 đô la Mỹ.

Chính vì sự khác biệt trong cơ chế báo giá của Chainlink mà CRV đã không cho phép thanh lý các vị thế thế chấp của mình khi đối mặt với giá bất thường trong ngắn hạn trên chuỗi.

Hiện Aave đã vô hiệu hóa chức năng mượn CRV, một số người dùng suy đoán rằng nó có thể ngăn các nhà giao dịch khai thác lỗ hổng Curve để hoảng sợ, mượn CRV và bán khống nó một cách ác ý để thúc đẩy thanh lý hàng loạt. Hiện có khoảng 291 triệu chiếc CRV được cung cấp tại Aave, khoảng 95% trong số đó đến từ tiền đặt cọc của Michwill, người sáng lập Curve. Trong vài giờ qua, người sáng lập Michwill đã liên tiếp trả lại một phần quỹ nợ và tăng cam kết CRV.

Lỗ hổng trong ngôn ngữ hợp đồng Ethereum Vyper dẫn đến cuộc tấn công

Cuộc tấn công vào Curve có thể nói liên quan đến nhiều lĩnh vực và sự chú ý của người dùng là cực kỳ cao. May mắn thay, Curve đã bị tấn công lần này không phải do các lỗ hổng trong hợp đồng của chính nó, mà do vấn đề với ngôn ngữ lập trình hợp đồng thông minh Ethereum cơ bản.

Ngay sau khi nhóm ổn định trên Curve bị tấn công, vào ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper đã tweet rằng các khóa vào lại của các phiên bản Vyper0.2.15, 0.2.16 và 0.3.0 là không hợp lệ, trong khi nhóm quỹ bị tấn công (alETH/msETH /pETH) được triển khai bằng Vyper 0.2.15.

Vyper là ngôn ngữ phát triển hợp đồng thông minh Ethereum dựa trên Python, được tạo ra vào năm 2017. So với Solidity, hiện đang được sử dụng phổ biến để viết các hợp đồng thông minh Ethereum, ngôn ngữ này sẽ dễ dàng hơn đối với các nhà phát triển đã quen với các ngôn ngữ dựa trên Python. Người sáng lập Ethereum Vitalik đã từng nói trong một tweet rằng Vyper đang âm thầm tiếp tục trở thành một ngôn ngữ cấp cao Ethereum tiên tiến hơn. Trong số đó, ví dụ về các dự án được viết bằng Vyper bao gồm Uniswap v1 và Curve.

Tuy nhiên, chức năng khóa đăng nhập lại của phiên bản mà Vyper đề cập là không hợp lệ. Thủ phạm có thể liên tục nhập lại hợp đồng và thực hiện một số chức năng nhất định nhiều lần trong một giao dịch, dẫn đến hoạt động trái phép hoặc đánh cắp tiền.

Hiện tại, phiên bản mới của Vyper đã sửa các lỗ hổng hiện có, nhưng không thể nâng cấp hợp đồng của một số nhóm quỹ mà Curve bị tấn công.

Thủ phạm của sự cố hack này thực sự là ngôn ngữ lập trình cơ bản Vyper chứ không phải chính Curve. Bởi vì so với vấn đề ứng dụng, lỗ hổng trong ngôn ngữ bên dưới đáng sợ hơn. Điều này chủ yếu là do thảm họa do lỗ hổng lớp cơ sở gây ra có tác động nghiêm trọng đến hệ sinh thái đối với chuỗi, thường gây ra nhiều phản ứng dây chuyền và quá trình tái thiết sẽ khó khăn hơn (ví dụ: hợp đồng nhóm quỹ bị tấn công trên Curve không hỗ trợ phiên bản nâng cấp ngôn ngữ lập trình, v.v.), trong khi phạm vi sự cố của một ứng dụng đơn lẻ hầu như có thể kiểm soát được.

May mắn thay, lần này không phải Solidity mà là Vyper không mấy nổi tiếng gặp sự cố.

KOL CM được mã hóa đã tweet: "Curve đã bị hack và các vấn đề kỹ thuật của Vyper có thể được mô tả là nghiêm trọng. Đây không còn là vấn đề với chính giao thức hoặc thiết kế hợp đồng thông minh nữa. Nếu Solidity cũng có khả năng xảy ra sự cố, thì tất cả đều nằm trong chuỗi đó. không có bảo mật trong ứng dụng Vì vậy, bạn nói rằng DeFi không tồn tại, điều này không quá bi thảm và điều thậm chí còn bi thảm hơn là blockchain không tồn tại.”

Tuy nhiên, một số người dùng cho rằng điều này đã xác minh một sự thật: không có sự bảo mật tuyệt đối, và khi bạn tận hưởng những lợi ích do hợp đồng thông minh mang lại, bạn cũng phải hoàn thành các chi phí tương ứng.

Liệu Đường Cong "quậy và rắc rối" có thể vượt qua cơn bão này?

Mặc dù lý do của cuộc tấn công không liên quan gì đến bản thân hợp đồng của dự án, nhưng Curve vẫn trở thành mục tiêu chỉ trích của công chúng.

Một số người dùng cho rằng mặc dù sự cố này là do ngôn ngữ lập trình có vấn đề nhưng Curve cũng không thể không đổ lỗi cho việc xem xét không đúng chỗ và không tích cực nhắc nhở người dùng về ngôn ngữ lập trình mà quỹ pool sử dụng. Tuy nhiên, một số người dùng cho rằng sự cố này chỉ xác minh tính bảo mật của hợp đồng thông minh Curve, bởi vì các nhóm quỹ khác không sử dụng Vyper và trứng không được bỏ vào cùng một giỏ và quan chức này đã gieo rắc rủi ro.

Nhìn chung, sự kiện thiên nga đen này có nhiều tác động tiêu cực hơn là tích cực đối với nền tảng Curve.

Đối với Curve năm nay, có thể nói là " năm kiếp nạn".

Đầu tiên, vào cuối tháng 5, giới truyền thông tiết lộ rằng Michael Egorov và vợ Anna Egorova đã mua hai ngôi nhà sang trọng ở Melbourne, trị giá tổng cộng 41 triệu đô la Mỹ và có diện tích 4.251 mét vuông.

Sau đó vào đầu tháng 6, người sáng lập Curve, Michael Egorov, lần đầu tiên bị kiện bởi ParaFi, Framework Ventures và 1kx, một VC mã hóa nổi tiếng, vì gian lận thương mại. Người ta nói rằng sau khi đầu tư 1 triệu đô la vào Curve vào năm 2020, Michael Egorov đã gửi các khoản tiền đầu tư này vào nhóm thanh khoản của Curve, ba VC không nhận được bất kỳ lợi nhuận thương mại nào, không nhận được mã thông báo CRV cũng như không nhận được tiền hoàn lại. Anh ta cũng cáo buộc Michael Egorov không có ý định từ bỏ quyền kiểm soát Curve của mình, không chuyển giao quyền lực cho Curve DAO, khóa nhiều CRV hơn dự kiến ​​để duy trì quyền kiểm soát áp đảo và bán một số mã thông báo trong khi nhận thu nhập phần thưởng thông qua cam kết.

Sau đó, nó đã được chọn bởi người dùng. Người sáng lập Michael Egorov nắm giữ hơn một phần ba số lượng lưu hành CRV và tổng số lượng mã thông báo CRV được thế chấp trong Aave lên tới 291 triệu, chiếm 34,15% lượng lưu hành CRV cung cấp. Từ quan điểm của người dùng, người sáng lập Curve đang kiếm tiền với chi phí thấp.

Chiếc CRV trị giá 291 triệu được thế chấp ở Aave luôn được người dùng coi là hồ chứa rào cản ẩn, điều này sẽ gây ra tình trạng bán khống CRV tập thể. Đây là mối đe dọa lớn đối với hệ sinh thái Curve và giao thức Aave, người dùng lo ngại CRV bị thanh lý và gặp phải vòng xoáy tử thần, kéo theo nợ khó đòi cho Aave. Sự cố thiên nga đen này tuy không dẫn đến việc thanh lý vị thế nhưng lại một lần nữa khiến người dùng lo ngại, rủi ro thị trường là khó lường, một khi có biến cố cực đoan xảy ra thì tác động của vị trí CRV 300 triệu cũng sẽ rất lớn, khó lường.

Mặc dù sự ra mắt của stablecoin crvUSD và tốc độ tăng trưởng dữ liệu sau đó đã khiến người dùng dần quên đi những dư luận xôn xao về người sáng lập ra nó, nhưng những vụ việc liên tiếp vẫn ập đến với Curve. Liệu sau đòn này, Curve có còn hồi phục nhanh như mấy lần trước?

Công bằng mà nói, có vẻ như những sự cố gần đây, cho dù đó là sự hỗn loạn của người sáng lập hay cuộc tấn công do lỗ hổng ngôn ngữ hợp đồng thông minh gây ra, đều không liên quan trực tiếp đến hoạt động của bản thân dự án, cũng không thể thực sự gây ra mối đe dọa chết người đối với một dự án phi tập trung. Hôm nay, Wu Jihan cũng đã tweet rằng anh ấy đã mua CRV ở mức thấp nhất và ủng hộ Curve, nói rằng: "Trong làn sóng RWA sắp tới, CRV là một trong những cơ sở hạ tầng quan trọng nhất."