Các điểm chính

Ngày 31/07/2023, một lỗ hỗng bảo mật trên phiên bản Vyper 0.2.15 khiến các khóa chống tái nhập (reentrancy lock) trên các pool liên quan như pETH-ETH, sETH-ETH, alETH-ETH bị vô hiệu, tạo cơ hội cho hacker khai thác hơn 26 triệu USD trên giao thức.
Các token liên quan đến sự kiện như CRV, CVX, JPEG chịu áp lực bán mạnh trong tuần, giảm trung bình hơn 30%.
Curve founder, Michael Erogov, thế chấp CRV trên nhiều nền tảng lending lớn như Aave, Fraxlend để vay hàng chục triệu USD. Giá CRV giảm làm tăng khả năng thanh lý từ các vị thế vay của Michael, tuy nhiên, CRV thiếu hụt thanh khoản trầm trong trên chuỗi dẫn đến mối lo ngại nợ xấu trên các giao thức.
Michael bán hơn 72 triệu CRV qua OTC cho Justin Sun, Wintermute Trading, Yearn treasury, etc. nhằm chi trả cho các khoản vay trên lending protocol.

Curve Finance trở thành “nạn nhân” của tấn công tái nhập (reentrancy attack) vì lỗ hổng trên Vyper 0.2.15

Ngày 31/07/2023, Curve Finance thông báo Twitter chính thức của họ về một số vấn đề bảo mật liên quan đến các pool sử dụng Vyper 0.2.15 khi triển khai. Thông tin từ Curve cho biết tính năng “reentrancy lock” trên phiên bản Vyper này đã không hoạt động dãn đến các vụ tấn công trên Curve.

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj

— Curve Finance (@CurveFinance) July 30, 2023

Reentrancy attack là 1 kiểu tấn công không phải mới, xảy ra khi contract của dự án gọi các hàm bên ngoài (external call) của 1 contract không đáng tin. Hacker sẽ lợi dụng external call để chèn 1 hàm tùy chỉnh, ví dụ như fallback() , để gọi các lệnh withdraw() khác trước khi hợp đồng hoàn thành vòng đời của mình ở updateBalance() .

reentrancy attack

Quay lại sự kiện trên Curve, các factory pool của Curve đã phải đối mặt với lỗ hổng tái nhập (reentrancy attack) này khi triển khai trên phiên bản Solidity Vyper 0.2.15. Theo các nhà phân tích bảo mật tại Beosin, hacker đã nhắm vào các pool của nhiều dự án như JPEGd, Metronome và Alchemix.

Lỗ hổng này đã dẫn đến thất thoát trên các pool liên quan, tổng cộng lên đến hơn 26 triệu USD, cụ thể pETH-ETH của JPEGd trên Curve đã mất 11,4 triệu USD. Tiếp theo, bể sETH-ETH của Metronome đã chuyển đi 1,6 triệu USD. Tuy nhiên, bể alETH-ETH của Alchemix là nơi chứng kiến hoạt động quan trọng nhất, với một lượng giao dịch lớn lên tới 13,6 triệu USD.

Sự cố đáng tiếc của Curve Finance xảy ra chỉ trước 1 tuần, Michael Egorov, founder của Curve vẫn rất tự tin với độ tin cậy về sản phẩm của mình khi anh chia sẻ trên Curve trong 1 thread liên quan đến sự cố hack của 1 giao thức khác, Conic Finance.

Still shocked that I haven't yet been ever affected by DeFi hacks 😅

— Michael Egorov (@newmichwill) July 22, 2023

Tuy nhiên, sự thật về rủi ro tấn công lần này không nằm trong các contract được phát triển bởi đội ngũ Curve Finance mà nằm ngoài giao thức, cụ thể làngôn ngữ phát triển từ Solidity, Vyper, và thực sự Curve Finance chỉ là 1 nạn nhân “bất đắc dĩ” trong cuộc tấn công.

Ảnh hưởng của sự kiện lên hệ sinh thái DeFi

Với 26 triệu USD tổn thất trên các giao thức sử dụng pool từ Curve đã làm tác động mạnh đến tâm lý các nhà đầu tư, giá của các token của các giao thức liên quan như CRV, CVX, JPEG, và cả dòng tiền trên các giao thức kể trên. Ảnh hưởng lớn nhất có thể kể đến JPEG, ALCX khi trong tuần đã có những thời điểm giảm hơn 40% giá trị token, 30% giá trị TVL trên giao thức.

Tuy nhiên, câu chuyện Curve bị tấn công không dừng mức độ ảnh hưởng ở việc các giao thức sử dụng hệ sinh thái của Curve Finance. Các lending protocol cũng là những nạn nhân “bất đắc dĩ”. Với việc giá CRV biến động mạnh, cộng đồng bắt đầu chuyển hướng quan sát đến các khoản vay thế chấp bằng CRV token trong thị trường, có 1 khoản vay rất lớn hơn 60 triệu USDT được cho là của Michael Egorov trên Aave có mức thanh lý CRV (vào ngày 31/07/2023) ở $0,43 khi giá CRV hiện tại là $0,5.

Price volatility

Không chỉ Aave, một phát hiện bất ngờ là ở tất cả các nền tảng lớn đang cho thế chấp CRV như Aave, FraxLend, Abracadabra và Inverse, Founder Curve Finance đều có các khoản vay “không hề nhỏ” ở đó. Ước tính theo 1 DeFi Research Analyst có twitter @DefiIgnas, hiện tại Founder Curve Finance đang giữ hơn 48% lượng cung lưu hành CRV trong thị trường và phần hơn 90% CRV của anh được dùng làm tài sản thế chấp trên các nền tảng lending.

An astonishing 48% of the circulating CRV supply is deposited as collateral by the Curve founder alone. pic.twitter.com/qxvoeS6sZ1

— Ignas | DeFi Research (@DefiIgnas) August 1, 2023

Thống kê tìm được từ Debank và Nansen, hiện thanh khoản của CRV trên các nền tảng dex lớn như Uniswap, Sushiswap, Curve, etc. chỉ dừng lại ở mức 28 triệu USD. Tuy nhiên, trong đó hầu hết là các token phái sinh của các giao thức khác như cvxCRV. Thanh khoản của CRV ở các pool CRV/WETH, CRV/USDC chỉ dừng lại con số “khiêm tốn” dưới 3 triệu USD.

Trong khi đó, các khoản vay của Michael Egorov, Curve founder, lên đế hơn 64 triệu USD (Số liệu được lấy từ 04/08/2023 lúc 3 giờ chiều VN). Điều này đồng nghĩa nếu vị thế của vị founder này bị thanh lý thì sẽ là mối lo ngại về nợ xấu của các “chủ nợ” đã cho Micheal thế chấp CRV và vay stablecoin như Aave, Fraxlend, Inverse và Abracadabra.

CRV on chain liquidity

Đứng trước hoàn cảnh trên, để thu về khoản tiền cho vay của mình nhanh nhất có thể, nhiều protocol như Abracadabra đã thông qua việc tăng interest rate cho CRV trên nền tảng của họ để áp lực cho Micheal phải sớm giải chấp lượng tiền vay của anh trên nền tảng.

Abracadabra

Mặc dù Health ratio của các vị thế vay vẫn nằm trong ngưỡng an toàn, các vị thế đều trên . Tuy nhiên, chính sự thiếu hụt trầm trọng thanh khoản của CRV trong thị trường mới chính là điều đáng lo ngại đối với Micheal Egorov.

Curve CRV health ratio — CRV health ratio

Trả lời cho câu hỏi trên, Micheal Egorov đã thanh lý lượng CRV đang nắm giữ thông quá các giao dịch OTC. Ước tính đến ngày 03/08/2023, Micheal đã bán hơn 72 triệu CRV thu về $29 triệu USD với những các buyer là những các cá nhân nổi tiếng như Justin Sun, Machibigbrother.eth, các tổ chức trong ngành như Wintermute Trading, DWF Labs đến cả các giao thức DeFi như Yearn, Cream.Finance, Stake DAO, etc.

Các giao dịch token CRV qua OTC của Michele Egorov. Nguồn: @Lookonchain

Cập nhật hiện tại

Tính tới thời điểm hiện tại, Michael Egorov đã trả tổng cộng hơn 35 triệu USD cho các nền tảng trong đó nhiều nhất là Aave 23 triệu USD và Fraxlend 12 triệu USD. Vì thế, giá thanh lý của Michael trên Aave đã về ở mức $0,3, và health ratio các vị thế khác của vị Curve Founder cũng ổn định hơn.

Asset trả cho các giao thức

Bên cạnh đó, Curve exploiter cũng đã hoàn lại 4.820 alETH và 2.258 ETH (tổng giá trị khoảng 12,7 triệu USD) kèm theo lời nhắn “I’m smarter than all of you”. Giá CRV vì vậy cũng đã hồi phục về trên $0,61 . Có thể nói, đây là cái kết đáng mong chờ nhất cho Michael Egorov trong suốt 1 tuần đầy biến động vừa qua.

Tổng kết

Các giao thức DeFi luôn tiềm ẩn những rủi ro từ trong và cả ngoài giao thức. Cá nhân người viết bài, mình vẫn cho rằng DeFi vẫn là “mảnh đất mới” đầy tiềm năng, và cả những vấn đề không thể lường trước được. Vì thế, trang bị hiểu biết về các rủi ro là cách giúp các nhà đầu từ crypto có thể hạn chế nhiều nhất các viễn cảnh không đáng tiếc.

Hi vọng bài viết đóng góp thêm nhiều góc nhìn cho nhà đầu tư/phát triển về các rủi ro hợp đồng thông minh như reentrancy attack hay mức độ liên đới và rủi ro tiềm ẩn giữa các giao thức trong 1 hệ sinh thái DeFi.