Nhiều nhóm ổn định trên Curve Finance đã được khai thác với giá hơn 26 triệu đô la wETH và CRV.
Các nhóm ổn định bị ảnh hưởng đang sử dụng Vyper có khóa đăng nhập lại bị trục trặc.
Sau vụ khai thác này là cuộc tấn công thứ hai vào nhóm crv/eth, dẫn đến một đợt rút 14 triệu USD khác.
Mã thông báo gốc CRV mất hơn 19% giá trị, đạt mức thấp nhất trong 4 tuần là 0,61 USD.
Giao thức DeFi hàng đầu Curve Finance đã trở thành mục tiêu của nhiều cuộc khai thác vào sáng nay, khi những kẻ tấn công đã tấn công ba nhóm ổn định dẫn đến dòng tiền chảy ra hơn 40 triệu USD. Cuộc tấn công ban đầu nhắm vào nhóm nhà máy của Alchemix, Metronome và JPEGd, tất cả đều mắc phải một lỗ hổng bảo mật được gọi là lỗ hổng reentrancy.
Hoạt động Whitehat bị cắt ngắn do khai thác tài chính ở đường cong thứ hai
Theo dữ liệu được biên soạn bởi công ty bảo mật blockchain Ancilia, các nhóm ổn định bị ảnh hưởng, cụ thể là alETH, msETH và pETH, tất cả đều sử dụng Ngôn ngữ hợp đồng thông minh Pythonic có tên Vyper. Các phiên bản 0.2.15, 0.2.16 và 0.3.0 của Vyper được cho là dễ bị trục trặc khi khóa truy cập lại, điều này cho phép hacker liên tục rút tiền từ hợp đồng thông minh.
Kẻ tấn công đã khai thác được Alchemix với số tiền 13,6 triệu USD, trong khi giao thức cho vay NFT JPEGd mất 11,4 triệu USD. 1,6 triệu USD đã bị rút khỏi nhóm sETH-ETH-f của Metronome DAO. Các token liên quan đến cả ba dự án đều chứng kiến một xu hướng giảm đáng kể sau khi bị khai thác.
Một hoạt động giải cứu trắng đã được công bố ngay sau khi các báo cáo về việc khai thác bắt đầu chiếm lĩnh cộng đồng tiền điện tử trên Twitter. Curve Finance đảm bảo với cộng đồng rằng các hợp đồng crvUSD và các nhóm liên quan không bị ảnh hưởng bởi các cuộc tấn công. Giao thức DeFi tiếp tục chỉ đạo tất cả các bên bị ảnh hưởng phối hợp với các nỗ lực của mũ trắng.
Nhóm crv/eth đã cạn kiệt vài phút trước khi hoạt động hack trắng :(https://t.co/rhALBzkTEi
– banteg (@bantg) Ngày 30 tháng 7 năm 2023
Tuy nhiên, trước khi hoạt động mũ trắng có thể đảm bảo an toàn cho tiền, một cuộc tấn công khác đã diễn ra vào nhóm crv/eth. Dữ liệu từ Etherscan cho thấy kẻ tấn công đã lấy đi 7 triệu Curve DAO Token (CRV) và số Ether (wETH) trị giá 14 triệu USD trong quá trình khai thác. Ví được sử dụng trong lần khai thác này được cho là được tài trợ từ Binance. Vụ khai thác mới nhất đã khiến tổng thiệt hại lên tới hơn 46 triệu USD.
Việc khai thác hàng loạt có tác động đáng kể đến token của các dự án bị ảnh hưởng. CRV mất hơn 19% giá trị, đạt mức thấp nhất trong 4 tuần là 0,61 USD. Tại thời điểm viết bài, token đang giao dịch ở mức 0,63 USD.