Hành trình phục hồi của Curve Finance: Những thách thức DeFi để đảm bảo an ninh

[TL; DR]

Vào ngày 10 tháng 6, UwU Lend đã bị tấn công và mất tài sản crypto trị giá khoảng 20 triệu đô la.

Các thanh lý sau khi UwU cho vay khai thác dẫn đến Michael Egorov phải chịu một khoản nợ xấu mà ông ta tuy nhiên, đã trả lại.

Các công ty DeFi nên áp dụng công nghệ tiên tiến và chuyên môn để ngăn chặn các cuộc tấn công cho vay flash trong tương lai.

Giới thiệu

Tội phạm tiền điện tử dường như tiếp tục diễn ra trong năm 2024 mặc dù có những giai đoạn yên tĩnh trong quá trình. Thật không may, có một xu hướng phát triển nơi những kẻ tấn công tận dụng lỗi trong các nền tảng cung cấp khoản vay flash. Vụ tấn công vào UwU Lend, một giao thức cho vay tài chính phi tập trung (DeFi) tồn tại trên Ethereum blockchain, cho thấy sự nghiêm trọng của tình hình. Mặc dù nỗ lực của một số giao protocô vay mượn để cải thiện biện pháp bảo mật của họ, nhưng những kẻ xấu tính dường như vẫn tìm cách khai thác chúng.

Hôm nay, chúng tôi tập trung vào cách cuộc tấn công của giao thức cho vay UwU đã gây ra hỗn loạn cho Curve Finance. Chúng tôi cũng sẽ xem xét con đường phục hồi đầy đủ của Curve Finance.

Tin tức liên quan: Curve Finance crvUSD, mở rộng nền tảng Stablecoin DeFi của nó

Biến động trong lĩnh vực DeFi liên quan đến Curve Finance

Giao thức cho vay UwU đã trải qua hai vụ hack xảy ra trong tuần thứ hai của tháng Sáu, gây ra biến động lớn trên nền tảng Curve Finance Thật đáng tiếc, cuộc tấn công thứ hai xảy ra khi công ty tiền điện tử đang trong quá trình bồi thường cho các nạn nhân của cuộc tấn công đầu tiên.

Vụ tấn công xảy ra vào ngày 10 tháng 6 dẫn đến một loạt các sự kiện dẫn đến Michael Egorov mất hơn 100 triệu đô la trong các khoản vay mà ông có trên các nền tảng khác nhau. Khi các khoản vay được thanh lý, … Giá token CRV giảm khoảng 30%. Trong một sự phát triển liên quan, UwU đã mất hơn 20 triệu đô la sau cuộc tấn công vay flash.

Không nghi ngờ, nguyên nhân của các khoản vay nhanh hàng triệu đô la và nợ xấu trong Curve Finance là cuộc tấn công vay nhanh. Để hiểu rõ hơn, UwU Lend cho phép người dùng cho vay, mượn và gửi cọc các tài sản mã hóa khác nhau. Theo bài viết của CoinDesk, Michael Egorov nói, “Vào ngày 15 tháng 4, UwU Lend triển khai mã có lỗi cho các thị trường mới (sUSDe), và các thị trường đó không được cô lập, vì vậy toàn bộ nền tảng đều gánh chịu rủi ro.”

Anh ta tiếp tục: “UwU đã bị hack, và kẻ tấn công, như một phần của ván chơi rút tiền, đã gửi CRV lấy từ UwU để cho vay trên lend.curve.fi (LlamaLend) và biến mất với số tiền, để lại nợ của anh ta trong hệ thống.”

Trong một bài đăng X Egorov giải thích: “Nhiều người trong số bạn đã biết rằng tôi đã bị thanh lý hết tất cả các khoản vay của mình. Kích thước của vị thế của tôi quá lớn đối với thị trường để xử lý và gây ra 10 triệu USD nợ xấu. Chỉ thị trường CRV (nơi vị thế lớn nhất) bị ảnh hưởng.”

Egorov đưa ra lý do cho tình hình khốn khó. Trong một Trong cuộc phỏng vấn với Cointelegraph, anh ấy nói, “CRV được đăng tải như tài sản thế chấp cho các khoản vay chiếm khoảng 30% của nguồn cung lưu hành; một nửa trong số đó được gửi trên Curve, vì vậy, nó đã gây ra một số nợ xấu. Điều này đã được trả lại. Không ai bị ảnh hưởng.

Đối với tiền điện tử không phải là BTC hoặc ETH được sử dụng làm tài sản đảm bảo, người dùng có thể cung cấp giới hạn cho việc vay; dữ liệu cho thấy thị trường đặc thù của Curve có thể được điều chỉnh thích hợp để chịu đựng ngay cả những tình huống như vậy.

Egorov cũng nhấn mạnh rằng Nền tảng Curve Finance đội đang làm việc để giải quyết các vấn đề thanh lý phát sinh từ lỗ hổng UwU crypto. Theo anh ấy, mặc dù thị trường DeFi Curve Finance là riêng biệt với các hồ bơi cho vay khác, người gửi tiền sẽ không rút CRV của họ miễn là nợ xấu của Curve Finance vẫn tồn tại. Egorov đã làm rõ: “
Nhóm Curve Finance và tôi đã đang làm việc để giải quyết vấn đề rủi ro thanh lý đã xảy ra hôm nay,” thêm Michael.

Bất chấp việc hàng triệu khoản thanh lý và nợ xấu, Egorov đã cam đoan với người dùng Curve Finance rằng tất cả họ sẽ có thể rút tiền gửi của họ. Quan trọng hơn, anh ấy hứa sẽ biến giao thức tiền điện tử trở thành nền tảng cho vay an toàn nhất trong thị trường DeFi. Người sáng lập Curve Finance tin rằng sản phẩm cho vay/mượn của nền tảng sẽ là sản phẩm an toàn nhất trong ngành.

Ngoài ra, Egorov đã nói về các biện pháp bảo mật cần thiết để ngăn chặn các vụ khai thác tiền điện tử trong tương lai. Ví dụ, anh ấy khuyên UwU Lend nên “kiểm tra lại tất cả các hợp đồng và kết nối chúng với các chuyên gia kiểm định bảo mật tốt.” Điều này sẽ đảm bảo rằng cơ chế cho vay tập thể của họ là an toàn và đáng tin cậy. Các cuộc kiểm định vĩnh viễn cũng sẽ giúp xác định bất kỳ mã nguồn nào có lỗ hổng trong hệ thống, từ đó ngăn chặn các vụ khai thác tiền điện tử trong tương lai.

Egorov cũng nói rằng ngành công nghiệp nên sử dụng “bot thanh lý nguồn mở” và giáo dục cộng đồng về thanh lý. Theo ông, nếu công nghệ và chuyên môn phù hợp đã được sử dụng trong trường hợp khai thác UwU, các khoản thanh lý tiếp theo và nợ xấu sẽ tránh được. Về hiệu ứng này, Egorov giải thích: Có vẻ như các đối thủ nặng ký trong ngành không hoàn toàn biết cách đối phó với việc thanh lý; họ đã không cố gắng thanh lý cứng một phần cho vị trí của tôi trên Curve. Cuối cùng, tôi phải tự mình làm điều đó”.

Theo cập nhật mới nhất của Egorov, Curve Finance đã trả lại 10 triệu đô la nợ xấu phát sinh từ việc thanh lý mềm mà lỗ hổng UwU gây ra.

Đọc thêm: Dự đoán giá và dự báo Curve DAO cho năm 2024, 2025, 2030

Chiến lược của hacker liên quan đến token CRV

Để hiểu rõ những gì chúng ta đã thảo luận ở trên, hãy giải thích cách sự khai thác crypto UwU đã xảy ra và tác động của nó đến mã CRV. Đầu tiên, người khai thác crypto đã tận dụng mã dễ bị tổn thương trong các oracles giá của giao thức, một thành phần xác định giá của tài sản. Sau khi hacker rút hết các tài sản crypto khác nhau, anh ta đã gửi CRV vào LlamaLend, từ đó cho phép anh ta vay hơn 8 triệu crvUSD. Kết quả là, người khai thác đã có thể đổi các mã CRV với tỷ lệ tốt hơn.

Tuy nhiên, đội UwU đã tạm dừng giao dịch khi phát hiện ra lỗ hổng. Nhằm giảm thiểu tác động của lỗ hổng đối với người dùng, các nền tảng đã đặt tỷ lệ vay và gửi tiền ở mức 0. Hơn nữa, trong một nỗ lực để thu hút hacker trả lại tiền mã hóa, UwU đã đề xuất một phần thưởng 20% dành cho người đeo mũ trắng.

Cơ bản, tiền thưởng đó cao hơn so với chỉ số chuẩn của ngành là 10%. Nhóm đã hứa trả tiền thưởng $5 triệu bằng ETH. Bất kỳ ai giúp bắt được kẻ tấn công đều có thể nhận được số tiền $5 triệu đã hứa. Một số tài sản tiền điện tử mà hacker đã đánh cắp là uLUSD, uFRAX, uDAI của UwU, uCRVUSD, uWETH và uUSDT.

Kết luận

Curve Finance đã mất 100 triệu đô la do các khoản vay đa triệu đô la bị thanh lý sau khi xảy ra lỗ hổng UwU Lend. Qua cùng một cuộc tấn công, UwU Lend đã mất tài sản trị giá 20 triệu đô la. Trong khi đó, UwU đã thông báo một phần thưởng khoản tiền thưởng trị giá 5 triệu đô la cho bất kỳ ai giúp tìm thấy kẻ tấn công. Egorov kêu gọi các công ty tiền điện tử trong ngành cải thiện biện pháp bảo mật của họ và có các cuộc kiểm tra định kỳ để ngăn chặn các cuộc tấn công trong tương lai.