Tran Hong 
Giao thức Curve gần đây đã gặp phải một thách thức lớn khi một lỗi trong các phiên bản cũ hơn của trình biên dịch Vyper khiến một tính năng bảo mật không hoạt động trong một số pool Curve nhất định. Hơn nữa, việc thế chấp lớn lượng $CRV của người sáng lập trên nhiều nền tảng cho vay đã dẫn đến một cuộc khủng hoảng thanh khoản tiềm tàng cho CRV. Trong bài viết này, chúng tôi sẽ xem xét cả Khủng hoảng lỗi và Khủng hoảng CRV, cung cấp thông tin chi tiết về tình trạng hiện tại của từng cuộc khủng hoảng và các giải pháp tiềm năng.
Khủng hoảng lỗi: Đã giải quyết, thu hồi một phần quỹ
Cuộc khủng hoảng trong Curve phát sinh từ một lỗ hổng trong các phiên bản cụ thể của ngôn ngữ Vyper (0.2.15, 0.2.16 và 0.3.0), khiến tính năng bảo vệ truy cập lại không thành công. Các pool thanh khoản bị ảnh hưởng và số tiền bị đánh cắp tương ứng như sau:
- pETH/ETH | 6,106.65 WETH (~$11m)
- msETH/ETH | 866.55 WETH (~$1.6 m) và 959.71 msETH (~$1.8m)
- alETH/ETH | 7,258.70 WETH (~$13.6 m) và 4,821.55 alETH (~$9m)
- CRV/ETH | 7,193,401.77 CRV (~$5.1m at time of exploit), 7,680.49 WETH (~$14.2m), and 2,879.65 ETH (~$5.4m)
Ngoài ra, pool Tricrypto (USDT+WBTC+ETH) trên Arbitrum đã bị ảnh hưởng, nhưng không có cuộc tấn công sinh lời nào được quan sát thấy và tiền của người dùng vẫn an toàn. Tuy nhiên, người dùng được khuyên nên rút tiền của họ để đề phòng.
Bốn pool bị ảnh hưởng đã bị vô hiệu hóa chức năng gửi tiền và đặt cược và bị xóa khỏi giao diện. Trong tương lai, nhóm Curve có kế hoạch tạm dừng phát thải CRV cho các pool này và tạo các pool mới cho alETH, msETH và pETH, ghép nối chúng với WETH hoặc triển khai chúng bằng phiên bản Vyper an toàn. Đối với CRV, một nhóm Tricrypto mới đã được hình thành bằng cách ghép nối nó với crvUSD+ETH, loại bỏ lỗ hổng đối với lỗi truy cập lại.
Năm pool này sử dụng phiên bản Vyper cụ thể được đề cập ở trên và được ghép nối với ETH gốc bị ảnh hưởng chính trong cuộc tấn công này, trong khi các pool khác trên Curve về cơ bản là an toàn và không bị ảnh hưởng. Vì vậy, hiện tại chúng tôi đã loại bỏ các pool bị ảnh hưởng này và mở các pool mới (được ghép nối với WETH hoặc được biên dịch với phiên bản Vyper an toàn), cuộc khủng hoảng lỗi Curve có thể được coi là đã được giải quyết (giả sử phiên bản Vyper mới không có lỗi chưa xác định).
Khủng hoảng thanh khoản $CRV: Có khả năng được giải quyết, Bán OTC để trả nợ
Cuộc khủng hoảng thanh khoản CRV chủ yếu là do người sáng lập Curve, Michael Egorov, đã thế chấp đáng kể CRV để vay trên các nền tảng cho vay của Frax Finance và Aave. Mặc dù giá trên chuỗi của CRV đã giảm mạnh xuống còn khoảng 0,08 đô la sau sự cố lỗi, nhưng cơ chế tiên tri phi tập trung, dựa trên nhiều nguồn dữ liệu và mức trung bình có trọng số, đã ngăn việc giảm giá mạnh này kích hoạt cơ chế thanh lý trên các nền tảng cho vay này. Bất chấp tâm lý giảm giá trên thị trường, giá của CRV đã ổn định quanh mức 0,5 USD. Hơn nữa, các vị thế của Michael Egorov trên Frax Finance và Aave cho thấy một vùng đệm đáng kể, với giá thanh lý khoảng 0,35 đô la, cho thấy biên độ an toàn là 30%.
Michael Egorov dường như đã tìm ra giải pháp cho cuộc khủng hoảng thông qua “giao dịch OTC của $CRV để trả nợ.” Theo @EmberCN, Michael Egorov đã bán tổng cộng 54,5 triệu token $CRV, huy động được 21,8 triệu đô la. Những người mua các $CRV này bao gồm DWFLabs (12,5 triệu $CRV), Justin Sun (5 triệu $CRV), Machi (3,75 triệu $CRV) và Cream.Finance (2,5 triệu $CRV), với mức giá trung bình là 0,4 đô la.
Tính đến thời điểm trước khi bài viết được xuất bản, vị thế cho vay của người sáng lập Curve, Michael Egorov trên các nền tảng cho vay khác nhau xấp xỉ như sau:
- 257,44 triệu $CRV được cung cấp trên Aave v2, vay 49,25 triệu USDT, với giá thanh lý xấp xỉ 0,35 USD.
- 38,6 triệu $CRV được cung cấp trên Frax, vay 9,19 triệu $FRAX, với giá thanh lý xấp xỉ 0,3 đô la.
- 46,65 triệu $CRV cung cấp trên Abracadabra và vay 12 triệu $MIM.
- 29,1 triệu $CRV được cung cấp trên Inverse và vay 7,7 triệu đô
Ngoài ra, áp lực thanh lý $CRV không chỉ ảnh hưởng đến người đi vay mà còn ảnh hưởng đến các nền tảng cho vay. Tất cả các nền tảng cho vay hiện nhận ra rằng khoản vay này là một quả bom hẹn giờ và việc xử lý sai có thể dẫn đến tổn thất nền tảng hoặc ảnh hưởng đến tài sản của những người dùng khác trên nền tảng.
Theo @Loki_Zeng, các giải pháp được cung cấp bởi các nền tảng cho vay khác nhau như sau:
- Fraxlend có một cơ chế mạnh mẽ: cách ly rủi ro của nhóm cho vay + lãi suất động, không yêu cầu biện pháp bổ sung; Michael sẽ cần phải tự nguyện trả nợ.
- Aave duy trì quản trị phi tập trung nhưng thiếu khả năng hành động nhanh nhẹn: các cuộc thảo luận trên diễn đàn quản trị rất rộng rãi và kịp thời. Sự đồng thuận hiện tại là giảm LTV (ngưỡng thanh lý) của $CRV xuống 0 và đóng băng các khoản vay mới, nhưng các đề xuất khác, chẳng hạn như giảm LTV (ngưỡng thanh lý) hoặc tăng lãi suất, vẫn còn gây tranh cãi.
- Abracadabra nhắm đến hiệu quả với một chút chế độ chuyên quyền: Họ đề xuất áp dụng tiền lãi trên tài sản thế chấp cho các vạc CRV, trong đó tất cả tiền lãi sẽ được thu trực tiếp trên tài sản thế chấp CRV trong các vạc và ngay lập tức được chuyển vào kho bạc giao thức để tăng hệ số dự trữ của DAO. Khi ở trong kho bạc, tài sản thế chấp có thể được chuyển đổi thành MIM thông qua các giao dịch hoặc quan hệ đối tác trên chuỗi.
- Nghịch đảo chưa đưa ra bất kỳ thông báo chính thức nào về giải pháp.
Nhìn lại, Curve, với tư cách là một nền tảng giao dịch và thanh khoản, không có lỗi trong cuộc khủng hoảng. Mặc dù chính hành vi trộm cắp nhóm quỹ của nó đã dẫn đến việc mất tiền của người dùng, nhưng lỗ hổng này về cơ bản là lỗi của ngôn ngữ lập trình Ethereum Vyper. Đối với việc CRV giảm giá và khủng hoảng thanh khoản, có thể là do hành động của Michael Egorov, khi anh ta thế chấp khoảng 100 triệu đô la để thanh lý, đặt một quả bom hẹn giờ cho CRV và các nền tảng cho vay. Sự kiện này cũng là một bài học cho các nền tảng cho vay để thực hiện tốt hơn cơ chế cách ly bảo mật quỹ người dùng và cơ chế thanh lý hiệu quả.
Update 4/8/2023
Curve treo thưởng $6.2M để hacker trả lại Crypto đánh cắp; Egorov đã bán tổng cộng 72M CRV, thu về $28M để hoàn trả dần các khoản vay, sau khi:
1/8 , Founder Curve – Michael Egorov đã bán tổng cộng 49.25M CRV với giá trung bình 0.4$ thông qua OTC để thu về 19.8 triệu USDT. Người mua gồm: Justin Sun, Machi Brother, DWF Labs, Dream Finance,…
Điều kiện đi kèm là CRV cho người mua sẽ bị khóa từ 3 – 6 tháng, chỉ có thể bán sớm nếu giá CRV tăng trên 0.8$
Tình thế đã khả quan hơn nhờ hành động kịp thời để hoàn trả dần các khoản vay trên AAVE, FRAX & MIM. Giá CRV đã hồi phục về 0.61$ từ dưới 0.49$ sáng nay, tuy nhiên rủi ro vẫn còn đó
Hiện tại, Egorov còn thế chấp 394M CRV ($236.8M) để vay hơn $87.5M stablecoin trên nhiều nền tảng lending
Vị thế thanh lý ở Frax là 0.33$ cho 41.6M CRV, ở MIM là 0.38$ cho 43M CRV và ở Aave là 0.37$ cho 267M CRV\
Follow us:
Twiiter: https://twitter.com/TCX1000BTC
Telegram: https://t.me/TCX1000BTC
