- Niềm tin vào DeFi “chắc chắn bị lung lay” sau vụ khai thác nhóm thanh khoản trị giá 24 triệu đô la của Curve Finance.
- Theo các nhà nghiên cứu, các tổ chức có thể không muốn gửi vốn vào DeFi và “bất kỳ giao thức nào được biên dịch bằng Vyper đều có thể gặp rủi ro”.
Một khai thác lỗ hổng vào cuối tuần nhắm vào Curve Finance đang làm lung lay niềm tin vào tài chính phi tập trung.
Giao thức DeFi đã chứng kiến một số nhóm thanh khoản của nó bị khai thác vào Chủ nhật do lỗi trong các hợp đồng thông minh sử dụng các phiên bản của ngôn ngữ mã hóa Vyper. Bảng của những kẻ tấn công trị giá 24 triệu đô la và một số nhóm stablecoin sử dụng hợp đồng Vyper đã bị cạn kiệt do lỗ hổng re-entry.
Token Curve DAO đã giảm hơn 12% trong 24 giờ qua xuống còn 0.63 đô la, theo CoinGecko. Một nhà nghiên cứu của Ignas Defi Research cho biết sự sụt giảm báo hiệu sự mất niềm tin vào tài chính phi tập trung.
“Niềm tin vào DeFi chắc chắn bị lung lay, nếu một giao thức hoạt động trơn tru trong ba năm bị khai thác, điều đó khiến chúng tôi đặt câu hỏi về mức độ an toàn của các giao thức blue-chip khác như Aave, Compound hoặc thậm chí Uniswap,” Ignas nói với The Block. “Đã có những lo ngại rằng Uniswap v4, với thiết kế hợp đồng thông minh nguyên khối, sẽ rủi ro hơn nếu bị tấn công, vì tất cả số tiền sẽ dễ bị tổn thương ngay lập tức.”
Vụ hack không chỉ có ý nghĩa quan trọng vì hàng triệu đô la bị đe dọa mà còn vì nó đã khai thác một lỗ hổng không mong muốn trong mã Vyper.
"Điều tồi tệ nhất về vụ hack Curve là đây không phải là thứ mà một nhà nghiên cứu điển hình sẽ tìm kiếm, họ đã đào sâu vào lịch sử phát hành của chúng tôi để tìm ra một vấn đề có thể khai thác cho một giao thức lớn với hàng triệu người bị đe dọa, điều này mất một khoảng thời gian đáng kể để xác định," một cộng tác viên ngôn ngữ hàng đầu của Vyper cho biết.
Lỗ hổng với Curve Finance làm tăng mối lo ngại lớn hơn
Ignas cho biết việc khai thác "gây lo ngại rằng bất kỳ giao thức nào được biên dịch bằng Vyper đều có thể gặp rủi ro." Nhà nghiên cứu nhấn mạnh rằng tin tặc đã khai thác trình biên dịch Vyper chứ không phải bản thân các hợp đồng thông minh của Curve.
Ignas nói thêm: “Không ai tập trung vào chính trình biên dịch Vyper và điều này đáng lo ngại vì giờ đây bất kỳ giao thức nào được biên dịch bằng Vyper đều có thể gặp rủi ro”.
Ignas nhấn mạnh khoản thanh lý 100 triệu đô la trên Aave, Frax và Abracadabra sau vụ tấn công. “Việc thanh lý có thể để lại các giao thức này với nợ khó đòi, có nghĩa là một số người dùng sẽ không thể rút vốn đã ký gửi của họ.”
Nhà nghiên cứu nói thêm rằng một số giao thức phụ thuộc vào Curve, như Frax và Alchemix, phụ thuộc vào tính thanh khoản của CRV đối với tài sản tổng hợp của họ.
Phản ứng của các tổ chức tài chính
Vụ hack có thể là một trở ngại đối với việc áp dụng DeFi của các tổ chức và việc sử dụng nó trên quy mô lớn. Việc khai thác Curve Finance xuất hiện sau một báo cáo vào tháng 6 cho biết 204 triệu đô la đã bị rút cạn do các vụ hack và lừa đảo DeFi chỉ trong quý 2 năm 2023.
"Các tổ chức có thể ngừng gửi vốn đáng kể vào DeFi trong thời gian ngắn, chẳng hạn như Dự án Mariana, liên quan đến Trung tâm đổi mới BIS, Ngân hàng Pháp, Cơ quan tiền tệ Singapore và Ngân hàng quốc gia Thụy Sĩ, đang khám phá Curve v2 HFMM cho on- chuỗi nhóm CBDC bán buôn. Liệu họ có thận trọng tiến lên sau vụ hack không? Thời gian sẽ trả lời," Ignas nói thêm.
Ignas cho biết việc khai thác cho thấy rằng những thay đổi đối với trình biên dịch cần phải được kiểm tra, đây sẽ là một bài học đắt giá cho ngành công nghiệp.
Ignas nói thêm: “Chắc chắn là một ngày đen tối đối với DeFi, nhưng số tiền bị mất và véc tơ tấn công không gây chết người cho Curve cũng như chính hệ sinh thái DeFi”.
Nguồn: The Block