Tác giả: Bankless

Biên dịch: Felix, PANews

Lỗ hổng bảo mật trong ngôn ngữ lập trình hợp đồng thông minh Vyper khiến DeFi có nguy cơ xảy ra sự kiện lây lan khi các nhóm tài trợ cạn kiệt và mối đe dọa thanh lý xuất hiện.

Véc tơ tấn công

Vào đầu giờ ngày 31 tháng 7, ngôn ngữ lập trình hợp đồng thông minh Vyper đã tweet rằng khóa chống truy cập lại của các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 không hợp lệ. Các tác nhân độc hại đã sử dụng các cuộc tấn công vào lại để liên tục ký lại hợp đồng, dẫn đến các hoạt động trái phép hoặc đánh cắp tiền. Kết quả là một số dự án quan trọng, bao gồm cả Curve Finance, đã bị tấn công và ước tính ban đầu đã khai thác tới 70 triệu đô la. Một số khoản tiền này đang bị tin tặc mũ trắng và bot MEV giam giữ và có thể được phục hồi.

Quả bom Curve

Bốn nhóm quỹ CRV/ETH, alETH/ETH, msETH/ETH và pETH/ETH trong hệ sinh thái Curve đã bị tấn công và hơn 45 triệu đô la thanh khoản đã bị chuyển từ giao thức cho vay Alchemix, tài sản tổng hợp Metronome và Nền tảng cho vay NFT JPEG'd. Lỗ trong nhóm, gần 25 triệu đô la đã chảy ra khỏi nhóm CRV/ETH. Một nhóm khác có khả năng bị ảnh hưởng là nhóm Arbitrum Tricrypto, nhưng các kiểm toán viên và nhà phát triển Vyper vẫn chưa tìm thấy các lỗ hổng có thể khai thác.

Ngoài ra, dữ liệu của DefiLlama cho thấy tổng khối lượng khóa (TVL) của Curve Finance đã giảm từ 3,266 tỷ USD vào ngày 30 tháng 7 xuống còn 1,869 tỷ USD, giảm 42,78% trong 24 giờ.

Biến Động Giá CRV

Các sàn giao dịch tập trung cho thấy giá CRV chạm đáy ở mức 0,583 đô la, nhưng mã thông báo này đã chạm mức thấp nhất là 0,109 đô la trên chuỗi. Sau khi nhóm CRV/ETH bị hack, tính thanh khoản của CRV trên chuỗi trở nên kém, dẫn đến biến động giá trên chuỗi.

Dù CRV bị bán tháo dã man, hacker vẫn kiếm bộn tiền. Việc không thể phục hồi sẽ dẫn đến việc bán tháo CRV, điều này có thể gây ra những tác động nghiêm trọng đối với giao thức cho vay. Hiện trong ví vẫn còn 7 triệu CRV (~4,5 triệu USD).

Cảnh báo cho vay

Người sáng lập Curve, Michael Egorov, đã đảm bảo một số lượng lớn các khoản vay đối với chiếc CRV của mình trên nhiều giao thức cho vay, trong đó lớn nhất là trên Aave. Nếu giá CRV đạt đến ngưỡng thanh lý, giao thức sẽ buộc phải thanh lý vị trí CRV. Theo thống kê của nhà nghiên cứu mã hóa 0xLoki, Michael Egorov hiện đang thế chấp 292 triệu CRV (181 triệu đô la Mỹ) và cho vay 110 triệu đô la Mỹ, chủ yếu được phân phối tại:

1. Thế chấp 190 triệu CRV trên AAVE, vay 65 triệu USD, giá thanh lý 0,37 USD;

2. Thế chấp 46 triệu CRV trên FRAXlend, vay 21 triệu FRAX, giá thanh lý là 0,4 USD;

3. Abracadabr đặt cọc 40 triệu CRV, cho vay 18 triệu đô la Mỹ, giá thanh lý là 0,39 đô la Mỹ;

4. Đặt cọc 16 triệu CRV trên Inverse, cho vay 7 triệu đô la Mỹ, giá thanh lý là 0,4 đô la Mỹ.

Trong 6 giờ qua, Egorov đã đặt cọc khoảng 10 triệu CRV vào AAVE và Abracadabra.

Điên cuồng trả nợ

Michael Egorov đã trả hết các khoản nợ vay để tránh bị thanh lý khi bán. Ngưỡng thanh lý mới cho khoản vay của Michael Egorov trên Aave đã được hạ xuống 0,37 đô la do nỗ lực trả nợ.

Cảnh báo sớm

Tính thanh khoản trên chuỗi được biết là không đủ để thanh lý vị thế của Michael Egorov. Tháng trước, công ty quản lý rủi ro DeFi Gauntlet đã cố gắng đóng băng thị trường CRV của Aave, nhưng đề xuất của họ đã bị nhất trí từ chối.

Thanh khoản trong nhóm CRV/ETH của Curve đã biến mất. Với tính thanh khoản của CRV thậm chí còn thấp hơn so với khi Gauntlet đề xuất, nợ khó đòi dường như không thể tránh khỏi nếu các vị trí được thanh lý.

DeFi đập tràn

Trong trường hợp nợ khó đòi, hợp đồng cho vay phải sử dụng quỹ bảo hiểm. Ví dụ: Aave sẽ bán mã thông báo AAVE từ mô-đun bảo mật của mình để bù đắp bất kỳ khoản thiếu hụt nào, nhưng việc bán sẽ làm giảm giá trị của tài sản thế chấp còn lại.

Tác động thanh khoản

Sự biến động lan rộng và những ẩn số còn lại sẽ khiến nhiều người loại bỏ tính thanh khoản khỏi Curve. Khi tính thanh khoản trên Curve và các DEX trên chuỗi khác tiếp tục giảm, giá sẽ ngày càng biến động.

Người cho vay rút lui

Những người cho vay đang chạy đua để rút tiền từ các thỏa thuận thị trường tiền tệ. Tỷ lệ sử dụng nhóm USDT của Aave đã vượt quá 50% và tỷ lệ vay tăng vọt lên 91%, điều này gây rất nhiều áp lực lên quan điểm của Michael Egorov: nếu lãi suất không giảm, nó sẽ bị thanh lý trong vài ngày tới.

Mặc dù thiệt hại đối với nhóm Curve có thể đã được thực hiện, nhưng tác động tiềm ẩn của việc khai thác này đối với DeFi có thể chỉ mới bắt đầu. Các thỏa thuận cho vay với thị trường CRV có thể gặp rủi ro, nếu không muốn nói là mất khả năng thanh toán, một số khoản nợ khó đòi nghiêm trọng.