Nguồn cấp dữ liệu giá CEX ngăn giá Curve sụp đổ trong bối cảnh lỗ hổng 100 triệu USD
Một lỗ hổng trong ngôn ngữ lập trình Vyper được sử dụng rộng rãi bởi các giao thức DeFi như Curve Finance đã dẫn đến việc khai thác nhiều nhóm thanh khoản Curve vào Chủ nhật, ngày 30 tháng 7.
Một số nhóm thanh khoản Curve Finance đã bị tấn công vào ngày 30 tháng 7 do lỗ hổng được tìm thấy trong ngôn ngữ lập trình Vyper. Vyper là ngôn ngữ lập trình hợp đồng được tạo cho Máy ảo Ethereum (EVM).
Curve Finance là một trong những giao thức tài chính phi tập trung (DeFi) quan trọng do các dịch vụ thanh khoản chính của nó và lỗ hổng mã đã khiến tài sản kỹ thuật số trị giá gần 100 triệu USD gặp rủi ro.
Lỗ hổng được tìm thấy trong phiên bản 0.2.15, 0.2.16 và 0.3.0, dẫn đến khóa truy cập lại bị trục trặc. Kết quả là, hàng triệu USD đã bị rút khỏi bốn nhóm Curve, cụ thể là aETH/ETH, msETH/ETH, pETH/ETH và CRV/ETH. Lỗ hổng trong ba biến thể của nó có thể ảnh hưởng đến một số giao thức khác.
Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023
Giá của mã thông báo gốc của Curve Finance (CRV) đã giảm trên thị trường DeFi do một số pool bị cạn kiệt đáng kể; tuy nhiên, cuối cùng nó đã được cứu bởi nguồn cấp dữ liệu giá trao đổi tập trung. Giá CRV đạt 0,086 USD trên các sàn giao dịch phi tập trung nhưng được giao dịch ở mức 0,60 USD trên các sàn giao dịch tập trung (CEX), ngăn không cho giá của mã thông báo giảm xuống 0.
Nhóm đường cong sử dụng hệ thống tiên tri của Chainlink kết hợp một số nguồn cấp giá, bao gồm cả các sàn giao dịch tập trung. Nếu không có nguồn cấp dữ liệu giá CEX, Curve Finance sẽ sụp đổ. Sự cố trớ trêu này đã thu hút sự chú ý của Giám đốc điều hành Binance Changpeng Zhao, người đã cười khúc khích khi biết rằng cuối cùng, chính nguồn cấp giá CEX đã cứu giao thức DeFi.
Zhao lưu ý rằng lỗ hổng Vyper không ảnh hưởng đến Binance, vì sàn giao dịch tiền điện tử đã cập nhật mã lên phiên bản mới nhất. Ông cũng nhắc nhở mọi người về tầm quan trọng của việc nâng cấp thư viện mã.
CEX price feed saves DeFi. 😂🤷♂️
Binance users are not affected. Our team checked on the Vyper Reentrant Vulnerability. We only use version 0.3.7 or above.
It's important to stay up-to-date with code libraries, apps and OS. And stay #SAFU 🙏 https://t.co/0GFv86KP9R
— CZ 🔶 Binance (@cz_binance) July 31, 2023
Lỗi trong các phiên bản trước của mã Vyper được cho là đã tồn tại ít nhất 1,5 năm và kẻ khai thác được cho là đã đào sâu vào lịch sử phát hành để tìm ra vấn đề có thể khai thác đối với một giao thức lớn với hàng triệu USD bị đe dọa. Một người đóng góp chương trình Vyper trên X (Twitter) đã đề xuất lượng thời gian và tài nguyên đưa vào khai thác cho thấy đây có thể là một cuộc tấn công do nhà nước tài trợ.
