Người phát ngôn cho biết lỗi phần mềm khiến bốn nhóm Curve Finance dễ bị đánh cắp hơn 70 triệu đô la, nhưng tất cả các nhóm khác hiện đã an toàn.
Hơn 70 triệu đô la tài sản kỹ thuật số khác nhau đã bị hack trong một loạt cuộc tấn công vào sàn giao dịch phi tập trung Curve Finance vào Chủ nhật.
Các cuộc tấn công bắt đầu vào khoảng 9:30 sáng theo giờ ET, bắt đầu bằng việc khai thác nhóm thanh khoản pETH-ETH của JPEG với giá hơn 11 triệu đô la, mặc dù điều đó có thể đã được thực hiện bởi một người tìm kiếm MEV.
Bốn cuộc tấn công khác — có khả năng tất cả đều được thực hiện bởi các tác nhân khác nhau — cũng đã làm cạn kiệt nhóm alETH-ETH của Alchemix, nhóm CRV/ETH hai lần, nhóm pETH-ETH của Pendle và nhóm msETH-ETH của Metronome, với tổng số hơn 70 triệu USD, theo chuyên gia bảo mật Phân tích. Một số vụ hack được báo cáo là do hacker mũ trắng thực hiện, có nghĩa là tổng số tiền bị mất có thể lên tới gần 50 triệu USD.
Trong một tuyên bố trên Curve Discord, đại diện nhóm “mimaklas” đã viết vào khoảng 4:30 chiều ET rằng “tất cả các pool bị ảnh hưởng đã bị rút cạn hoặc bị hack trắng. Tất cả các nhóm còn lại đều an toàn và không bị ảnh hưởng bởi lỗi.” Một đại diện của Curve từ chối bình luận.
Bất chấp những tuyên bố công khai này, các cuộc tấn công vẫn có thể tiếp diễn. Hai giờ sau tin nhắn của mimaklas, một lần khai thác khác của nhóm CRV-ETH đã rút thêm 5.2 triệu đô la.
Với 3 tỷ đô la thanh khoản, Curve thoải mái là DEX lớn thứ hai và có cấu trúc quan trọng nhất trong DeFi, đồng thời có tầm quan trọng đặc biệt đối với các thị trường hoán đổi stablecoin — vốn không bị ảnh hưởng. Mã thông báo phần thưởng và quản trị CRV của Curve giảm 13.4% xuống còn 0.64 đô la sau khi giảm xuống mức thấp nhất là 0.58 đô la vào đầu ngày.
Lỗi 0-day
Theo Tiến sĩ Laurence Day, người sáng lập Wildcat Finance và là người trình bày thường xuyên về khai thác hợp đồng thông minh, các vụ trộm đã được kích hoạt bởi lỗ hổng zero-day trong các phiên bản cụ thể của trình biên dịch cho Vyper, ngôn ngữ lập trình Curve được sử dụng cho nhiều hợp đồng.
Lỗ hổng này bắt nguồn từ một giả định liên quan đến các biện pháp phòng ngừa “tái xuất” không hoạt động như dự kiến. Các cuộc tấn công vào lại là một vectơ khai thác phổ biến.
Trong vài giờ kể từ khi lỗ hổng được đưa ra ánh sáng, đã có một số chỉ trích giữa các nhóm phát triển. Trong một tweet đã bị xóa, tài khoản Twitter chính thức của Curve dường như đổ lỗi cho các nhà phát triển của JPEG về việc khai thác. Đến lượt đội của JPEG'd tự bảo vệ mình.
Curve cũng là một người hỗ trợ quan trọng của nhóm Vyper, đã tài trợ cho quá trình phát triển liên tục của nhóm trong quá khứ và các thành viên nhóm Curve đang tích cực tham gia vào việc bảo trì cơ sở mã Vyper.
Day cảnh báo không nên đổ lỗi cho bất kỳ đội nào về việc lỗ hổng bị khai thác.
Ông viết: “Các trình biên dịch được đóng gói sẵn với một loạt các giả định về hành vi mà đại đa số chúng ta đơn giản coi là điều hiển nhiên vì chúng ta cho rằng những người thông minh hơn chúng ta đã hoàn thành công việc gần với việc lắp ráp hơn. “Rất dễ chỉ tay và chỉ ra những thất bại để xác minh những điều này.”
Alchemix tạm dừng hợp đồng
Trong số các giao thức bị ảnh hưởng nặng nề nhất trong cuộc tấn công, Alchemix đã tạm dừng một số hợp đồng để ngăn kẻ khai thác lỗ hổng hoán đổi alETH lấy ETH native, bao gồm cả cầu nối với Optimism nơi AMM Velodrome có thanh khoản 4.4 triệu đô la trong nhóm alETH và “ transmuter”, trao đổi alETH lấy ETH theo tỷ lệ 1:1.
Alchemix được thiết kế để cung cấp cho người dùng trước về lợi nhuận trong tương lai của họ và sử dụng một phái sinh ether tổng hợp, alETH, được đảm bảo bởi ether trong quá trình này.
Tuy nhiên, trong một tweet, nhóm phát triển Alchemix báo cáo rằng một kẻ khai thác đã lấy được 5,000 ETH từ nhóm alETH-ETH, có thể khiến tài sản alchemix không được hỗ trợ một phần. Mức độ thiệt hại không rõ ràng; hai cuộc tấn công vào alETH đã tiêu tốn hơn 30 triệu đô la, nhưng một cuộc tấn công có thể là một hoạt động mũ trắng.
Ngoài ra, một người dùng dường như không liên quan đến các lần khai thác ban đầu đã lợi dụng việc khai thác để hoán đổi 5 ETH lấy 1200 alETH, sau đó họ đã chuyển địa chỉ này sang một địa chỉ phụ trước khi bán.
alETH hiện đang giao dịch với giá $1,476 so với ETH native ở mức $1,887, có nghĩa là thị trường đang giả định thiếu 22% hỗ trợ. alETH có tổng vốn hóa thị trường là 68 triệu đô la trên mỗi Coingecko, với 38 triệu đô la chỉ riêng trên mạng chính Ethereum.
Token quản trị của Alchemix ALCX đã giảm khoảng 7% sau khi lỗ hổng bị khai thác.
Khả năng lây nhiễm
Bên cạnh thiệt hại kinh tế do chính các cuộc tấn công gây ra — các pool bị khai thác lớn hơn đáng kể tính theo đồng đô la vào thời điểm bị tấn công so với những gì mà những kẻ khai thác thực sự xoay sở được — nhiều nhà quan sát đang lo lắng về các tác động lan tỏa tiềm ẩn.
Mối quan tâm đặc biệt là khoản vay Aave V2 trị giá 60 triệu USD của người sáng lập Curve Finance, Michael Egorov. Khoản vay được hỗ trợ chủ yếu bằng token CRV vượt xa những gì giao thức có thể dễ dàng thanh lý, điều này có khả năng dẫn đến nợ xấu.
Quy mô vị trí của Egorov lớn đến mức có lẽ trước đây nó từng là mục tiêu tấn công.
Sau khi tài khoản của Egorov thêm tài sản thế chấp vào giao thức và trả khoản nợ gần 4 triệu đô la, vị thế hiện đang ổn định.
Tiềm năng phục hồi
Một phần số tiền bị hack không bị thu giữ bởi mũ trắng cũng đã được chứng minh là có thể phục hồi được.
Ba trong số năm lỗ hổng đã được những người tìm kiếm MEV thực hiện trước, bao gồm cuộc tấn công vào nhóm pETH-ETH, nhóm msETH-ETH và cuộc tấn công thứ hai vào nhóm CRV-ETH.
Trong trường hợp của hai trường hợp sau, việc khai thác được thực hiện bởi tài khoản MEV dồi dào coffeebabe.eth. Địa chỉ này trước đây đã cố gắng liên lạc với Sushi để trả lại tiền sau khi chạy trước một khai thác lỗ hổng khác vài tháng trước.
Địa chỉ của họ vẫn hoạt động trong suốt quá trình thử thách, thực hiện các giao dịch trên các memecoin phổ biến ngoài việc chạy trước các cuộc tấn công, ngụ ý rằng các cuộc tấn công trước có thể đã xảy ra một cách tự động bởi tài khoản mà chủ sở hữu tài khoản không hề hay biết.
Curve đã liên lạc trực tuyến với Coffeebabe.eth, người bày tỏ ý định chuyển số tiền đã khai thác sang kho lạnh, cũng như mong muốn trả lại tiền cho các bên bị ảnh hưởng.
Vào khoảng 8:00 tối ET coffeebabe.eth đã trả lại tiền từ lần khai thác nhóm CRV/ETH thứ hai.
Nguồn: BlockWorks
Hơn 70 triệu đô la tài sản kỹ thuật số khác nhau đã bị hack trong một loạt cuộc tấn công vào sàn giao dịch phi tập trung Curve Finance vào Chủ nhật.
Các cuộc tấn công bắt đầu vào khoảng 9:30 sáng theo giờ ET, bắt đầu bằng việc khai thác nhóm thanh khoản pETH-ETH của JPEG với giá hơn 11 triệu đô la, mặc dù điều đó có thể đã được thực hiện bởi một người tìm kiếm MEV.
Bốn cuộc tấn công khác — có khả năng tất cả đều được thực hiện bởi các tác nhân khác nhau — cũng đã làm cạn kiệt nhóm alETH-ETH của Alchemix, nhóm CRV/ETH hai lần, nhóm pETH-ETH của Pendle và nhóm msETH-ETH của Metronome, với tổng số hơn 70 triệu USD, theo chuyên gia bảo mật Phân tích. Một số vụ hack được báo cáo là do hacker mũ trắng thực hiện, có nghĩa là tổng số tiền bị mất có thể lên tới gần 50 triệu USD.
Trong một tuyên bố trên Curve Discord, đại diện nhóm “mimaklas” đã viết vào khoảng 4:30 chiều ET rằng “tất cả các pool bị ảnh hưởng đã bị rút cạn hoặc bị hack trắng. Tất cả các nhóm còn lại đều an toàn và không bị ảnh hưởng bởi lỗi.” Một đại diện của Curve từ chối bình luận.
Bất chấp những tuyên bố công khai này, các cuộc tấn công vẫn có thể tiếp diễn. Hai giờ sau tin nhắn của mimaklas, một lần khai thác khác của nhóm CRV-ETH đã rút thêm 5.2 triệu đô la.
Với 3 tỷ đô la thanh khoản, Curve thoải mái là DEX lớn thứ hai và có cấu trúc quan trọng nhất trong DeFi, đồng thời có tầm quan trọng đặc biệt đối với các thị trường hoán đổi stablecoin — vốn không bị ảnh hưởng. Mã thông báo phần thưởng và quản trị CRV của Curve giảm 13.4% xuống còn 0.64 đô la sau khi giảm xuống mức thấp nhất là 0.58 đô la vào đầu ngày.
Lỗi 0-day
Theo Tiến sĩ Laurence Day, người sáng lập Wildcat Finance và là người trình bày thường xuyên về khai thác hợp đồng thông minh, các vụ trộm đã được kích hoạt bởi lỗ hổng zero-day trong các phiên bản cụ thể của trình biên dịch cho Vyper, ngôn ngữ lập trình Curve được sử dụng cho nhiều hợp đồng.
Lỗ hổng này bắt nguồn từ một giả định liên quan đến các biện pháp phòng ngừa “tái xuất” không hoạt động như dự kiến. Các cuộc tấn công vào lại là một vectơ khai thác phổ biến.
Trong vài giờ kể từ khi lỗ hổng được đưa ra ánh sáng, đã có một số chỉ trích giữa các nhóm phát triển. Trong một tweet đã bị xóa, tài khoản Twitter chính thức của Curve dường như đổ lỗi cho các nhà phát triển của JPEG về việc khai thác. Đến lượt đội của JPEG'd tự bảo vệ mình.
Curve cũng là một người hỗ trợ quan trọng của nhóm Vyper, đã tài trợ cho quá trình phát triển liên tục của nhóm trong quá khứ và các thành viên nhóm Curve đang tích cực tham gia vào việc bảo trì cơ sở mã Vyper.
Day cảnh báo không nên đổ lỗi cho bất kỳ đội nào về việc lỗ hổng bị khai thác.
Ông viết: “Các trình biên dịch được đóng gói sẵn với một loạt các giả định về hành vi mà đại đa số chúng ta đơn giản coi là điều hiển nhiên vì chúng ta cho rằng những người thông minh hơn chúng ta đã hoàn thành công việc gần với việc lắp ráp hơn. “Rất dễ chỉ tay và chỉ ra những thất bại để xác minh những điều này.”
Alchemix tạm dừng hợp đồng
Trong số các giao thức bị ảnh hưởng nặng nề nhất trong cuộc tấn công, Alchemix đã tạm dừng một số hợp đồng để ngăn kẻ khai thác lỗ hổng hoán đổi alETH lấy ETH native, bao gồm cả cầu nối với Optimism nơi AMM Velodrome có thanh khoản 4.4 triệu đô la trong nhóm alETH và “ transmuter”, trao đổi alETH lấy ETH theo tỷ lệ 1:1.
Alchemix được thiết kế để cung cấp cho người dùng trước về lợi nhuận trong tương lai của họ và sử dụng một phái sinh ether tổng hợp, alETH, được đảm bảo bởi ether trong quá trình này.
Tuy nhiên, trong một tweet, nhóm phát triển Alchemix báo cáo rằng một kẻ khai thác đã lấy được 5,000 ETH từ nhóm alETH-ETH, có thể khiến tài sản alchemix không được hỗ trợ một phần. Mức độ thiệt hại không rõ ràng; hai cuộc tấn công vào alETH đã tiêu tốn hơn 30 triệu đô la, nhưng một cuộc tấn công có thể là một hoạt động mũ trắng.
Ngoài ra, một người dùng dường như không liên quan đến các lần khai thác ban đầu đã lợi dụng việc khai thác để hoán đổi 5 ETH lấy 1200 alETH, sau đó họ đã chuyển địa chỉ này sang một địa chỉ phụ trước khi bán.
alETH hiện đang giao dịch với giá $1,476 so với ETH native ở mức $1,887, có nghĩa là thị trường đang giả định thiếu 22% hỗ trợ. alETH có tổng vốn hóa thị trường là 68 triệu đô la trên mỗi Coingecko, với 38 triệu đô la chỉ riêng trên mạng chính Ethereum.
Token quản trị của Alchemix ALCX đã giảm khoảng 7% sau khi lỗ hổng bị khai thác.
Khả năng lây nhiễm
Bên cạnh thiệt hại kinh tế do chính các cuộc tấn công gây ra — các pool bị khai thác lớn hơn đáng kể tính theo đồng đô la vào thời điểm bị tấn công so với những gì mà những kẻ khai thác thực sự xoay sở được — nhiều nhà quan sát đang lo lắng về các tác động lan tỏa tiềm ẩn.
Mối quan tâm đặc biệt là khoản vay Aave V2 trị giá 60 triệu USD của người sáng lập Curve Finance, Michael Egorov. Khoản vay được hỗ trợ chủ yếu bằng token CRV vượt xa những gì giao thức có thể dễ dàng thanh lý, điều này có khả năng dẫn đến nợ xấu.
Quy mô vị trí của Egorov lớn đến mức có lẽ trước đây nó từng là mục tiêu tấn công.
Sau khi tài khoản của Egorov thêm tài sản thế chấp vào giao thức và trả khoản nợ gần 4 triệu đô la, vị thế hiện đang ổn định.
Tiềm năng phục hồi
Một phần số tiền bị hack không bị thu giữ bởi mũ trắng cũng đã được chứng minh là có thể phục hồi được.
Ba trong số năm lỗ hổng đã được những người tìm kiếm MEV thực hiện trước, bao gồm cuộc tấn công vào nhóm pETH-ETH, nhóm msETH-ETH và cuộc tấn công thứ hai vào nhóm CRV-ETH.
Trong trường hợp của hai trường hợp sau, việc khai thác được thực hiện bởi tài khoản MEV dồi dào coffeebabe.eth. Địa chỉ này trước đây đã cố gắng liên lạc với Sushi để trả lại tiền sau khi chạy trước một khai thác lỗ hổng khác vài tháng trước.
Địa chỉ của họ vẫn hoạt động trong suốt quá trình thử thách, thực hiện các giao dịch trên các memecoin phổ biến ngoài việc chạy trước các cuộc tấn công, ngụ ý rằng các cuộc tấn công trước có thể đã xảy ra một cách tự động bởi tài khoản mà chủ sở hữu tài khoản không hề hay biết.
Curve đã liên lạc trực tuyến với Coffeebabe.eth, người bày tỏ ý định chuyển số tiền đã khai thác sang kho lạnh, cũng như mong muốn trả lại tiền cho các bên bị ảnh hưởng.
Vào khoảng 8:00 tối ET coffeebabe.eth đã trả lại tiền từ lần khai thác nhóm CRV/ETH thứ hai.
Nguồn: BlockWorks