Mới gần đây, vào ngày 30/7, Curve Finance - một giao thức DeFi gạo cội trên Ethereum đã trải qua một vụ hack với tổng tài sản thiệt hại lên tới hàng chục triệu đô la Mỹ. Hãy cùng đội ngũ TheBlock101 tìm hiểu toàn bộ nguyên nhân và diễn biến sự việc qua bài viết dưới đây.
1. Curve Finance là gì?
Curve Finance là nền tảng AMM top đầu trên Ethereum, tập trung chính vào ngách stablecoin với hàng trăm pool thanh khoản đang được vận hành trên nền tảng.
Hiện tại, tổng giá trị khoá trong nền tảng đã đạt tới con số hơn 2 tỷ USD với khối lượng giao dịch hàng ngày ở mức hơn 70 triệu đô la Mỹ. Kể từ khi ra mắt năm 2020, Curve Finance liên tục đứng trong top những dự án AMM về vốn hoá khi lựa chọn hướng đi khá khôn khéo cho mình, thay vì cạnh tranh với Uniswap, Curve Finance tập trung vào thị trường ngách “stablecoin”.
2. Thông tin về vụ hack của Curve Finance
Sự việc bắt đầu khi tối 30/7, Curve Finance chính thức đăng tweet thông báo về việc một số pools thanh khoản (alETH/ msETH/ pETH) sử dụng ngôn ngữ lập trình Vyper 0.2.15 đã bị tấn công. Các pools còn lại vẫn an toàn.
PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.
— Vyper (@vyperlang) July 30, 2023
Nguyên nhân vụ hack đã được xác nhận khi Vyber thông báo các phiên bản 0.2.15, 0.2.16 và 0.3.0 của họ đang gặp vấn đề và dễ bị tấn công, kêu gọi các dự án sử dụng phiên bản này lập tức liên hệ với họ để ngăn chặn rủi ro có thể xảy ra.
Tại thời điểm xảy ra sự việc, Curve Finance đã không thông báo về khối lượng ước tính thiệt hại, nhưng dựa trên phân tích sơ bộ của công ty kiểm toán BlockSec cho thấy, khoản thiệt hại có thể lên tới hơn 70 triệu USD các loại tài sản kỹ thuật số khác nhau.
Bắt đầu bằng việc hơn 11 triệu USD trong pool thanh khoản pETH-ETH của JPEG trên Curve Finance bị tấn công. Sau đó, liên tiếp các dự án khác cũng bị ảnh hưởng như pool alETH-ETH của Alchemix, pool CRV/ETH, pool pETH-ETH của Pendle và msETH-ETH của Metronome. Một số vụ hack được báo cáo là do hacker mũ trắng thực hiện.
3. Những hậu quả sau đó và rủi ro có thể xảy ra sau vụ hack của Curve Finance
3.1. Hậu quả vụ hack về Curve Finance
Sau vụ hack, giá của CRV đã giảm 13.4% còn 0.64$ sau khi giảm xuống mức thấp nhất 0.58$ vào đầu ngày. Theo thông tin từ Cointelegraph, giám đốc điều hành Curve Finance Michael Egorov cũng xác nhận rằng 32 triệu mã token Curve DAO (CRV) trị giá hơn 22 triệu USD cũng đã bị rút khỏi swap pool.
Do một số dự án sử dụng LP tokens của Curve Finance làm tài sản thế chấp, dẫn đến một loạt các dự án cũng bị ảnh hưởng tương đối như đã đề cập bên trên. Trong đó, pool alETH-ETH của Alchemix cũng chứng kiến 13,6 triệu đô la bị rút ra do cuộc tấn công, cùng với 11,6 triệu USD bị hack trên nhóm pETH-ETH của JPEGd và 1,6 triệu USD từ nhóm sETH-ETH của Metronome.
? Some of the pools that were affected by the #CurveFinance exploit
— Satoshi Club (@esatoshiclub) July 31, 2023
? #Alchemix’s $alETH - $ETH - $13,6M
? #JPEGd’s $pETH - $ETH - $11.6M
? #Metronome’s $sETH - $ETH - $1.6M
And $22M in $CRV tokens
Tuy nhiên, một vấn đề đáng lưu ý hơn ở đây chính là khoản vay trị giá hơn một trăm triệu đô la Mỹ của Michael Egorov (người sáng lập Curve Finance) trên một số các nền tảng DeFi khác nhau. Trước đó, Egorov đã thế chấp 171 triệu đô $CRV trên AAVE để đổi lấy khoản vay 63.2 triệu đô bằng stablecoin.
Ngoài ra, ông cũng thế chấp 59 triệu đô $CRV trên Frax để vay 15.8 triệu đô $FRAX. Đây là 2 nền tảng ghi nhận số lượng thế chấp CRV cao nhất, ngoài ra còn 1 số nền tảng khác nữa. Tổng cộng, số lượng CRV bị thế chấp vào các nền tảng được cho là rơi vào khoảng 427.5 triệu $CRV (tương đương với 47% tổng số lượng lưu thông hiện tại của CRV).
Ở mức vay này, khoản vay của Egorov sẽ bị thanh lý nếu giá CRV giảm tới 0.3767$. Tuy nhiên, ban đầu Egorov đã vay ở mức lãi suất 4%, nhưng hiện tại con số này đã lên tới gần 90% do khái niệm “Loan Utilization Rate” (tỉ lệ sử dụng vốn vay).
3.2. Vậy "Loan Utilization Rate” (LUR) là gì? Hãy cùng đi vào ví dụ dưới đây để hiểu rõ hơn
Ví dụ, bạn gửi 100 ETH vào một nền tảng, để vay ra trị giá 70ETH, điều đó có nghĩa là bạn đang sử dụng 70% khoản vay của mình (LUR = 70%)
Tỷ lệ sử dụng càng cao, lãi suất của bạn với khoản vay càng cao.
Trong trường hợp tài sản thế chấp của bạn (100 ETH ở ví dụ này) giảm giá trị, nghĩa là tỷ lệ sử dụng vốn vay của bạn càng tăng lên. Khi đạt tỉ lệ 100%, tiền lãi bạn phải trả sẽ tăng gấp đôi sau 12 tiếng.
3.3. Vậy vấn đề của Egorov là gì?
Nếu giá của CRV giảm tới mức thanh lý ⇒ một lượng lớn CRV sẽ bị bán tháo ra thị trường ⇒ giá CRV sụt giảm ⇒ tỷ lệ sử dụng vốn của Egorov nhanh chóng tăng lên 100%, và với mức lãi suất hiện tại là 86% thì chỉ sau 3.5 ngày, lãi suất này có thể tăng lên đến 11,000%.
Khả năng trả nợ gần như bằng 0. Mức lãi suất khổng lồ này, có thể dẫn đến việc Egorov cuối cùng vẫn bị thanh lý, bất kể giá CRV là bao nhiêu. Với mức LTV tối đa 75%, giá thanh lý có thể tăng lên 0.517$/ CRV trong vòng vài ngày.
Để khắc phục được vấn đề này, Egorov đã liên tục bán token $CRV của mình thông qua giao dịch OTC ở mức giá 0.4$/ CRV với một số whale:
- Justin Sun (nhà sáng lập TRON) - đã mua 5 triệu đô
- Crypto trader DCFGo - đã mua 4.25 triệu đô $CRV
- Machi Big Brother (chủ sở hữu NNFT Jeffrey Huang) - đã mua 3.75 triệu đô $CRV
- DWF Labs - đã mua 2.5 triệu đô $CRV
- Cream Finance (một dự án DeFi) - đã mua 2.5 triệu đô $CRV
Nhờ sự hỗ trợ trên, Egorov đã hoàn trả được một phần khoản nợ với AAVE và Paxos, khiến giảm tỷ lệ vay và lãi suất xuống.
4. Chuyện gì sẽ xảy ra nếu khoản vay của Egorov bị thanh lý? Hiệu ứng domino có lại xảy ra?
Như đã mô tả bên trên, nếu khoản vay của Egorov bị thanh lý có thể gây ra một chuỗi hiệu ứng domino, gây ảnh hưởng đến toàn bộ thị trường DeFi và nguy cơ sụp đổ là có thể.
Theo thiết kế của AAVE, nếu tài sản thế chấp bị giảm giá xuống dưới mức vay, sự thiếu hụt giữa số tiền gốc và tài sản thế chấp CRV sẽ được thanh toán bằng cách bán AAVE từ Safety Module của nó, điều này sẽ gây ảnh hưởng tới giá AAVE và những người nắm giữ token.
Ngoài ra, nếu việc bán tháo xảy ra chắc chắn sẽ dẫn đến tác động tiêu cực diện rộng trên toàn bộ thị trường DeFi do sức ảnh hưởng của Curve Finance là rất lớn trong ngách này.
5. Kết luận
Mặc dù đã trải qua vô số các biến cố khác nhau trong thị trường tiền điện tử, tuy nhiên chúng ta cũng không thể phủ nhận “thiên nga đen” là những hiện tượng không thể đoán trước, bất ngờ xảy ra, tốc độ rất nhanh và để lại hậu quả cực kì nghiêm trọng, điển hình như trường hợp của FTX vào cuối năm ngoái.
Một trong những bài học lớn khác, thị trường tài chính luôn là những thị trường vô cùng tàn khốc, sẽ không có bất kỳ quy tắc nào là tuyệt đối. Nếu Curve Finance không được cứu trợ kịp thời trong giai đoạn vừa rồi, có thể sẽ lại có 1 thiên nga đen tương tự như FTX và 1 chuỗi hiệu ứng Domino có thể xảy ra sau đó.
Chính vì vậy, trong những trường hợp tương tự, cách tốt nhất là người dùng nên quan sát diễn biến của thị trường và tránh bắt đáy, hãy cân nhắc mức độ rủi ro và lợi nhuận trên mỗi quyết định đầu tư của mình. Theo dõi TheBlock101 để cập nhật thêm nhiều thông tin khác về thị trường crypto!
Đọc thêm:
EraLend là gì? Giải mã vụ hack nền tảng lending chấn động trên zkSync
Wormhole là gì? Cross-chain bridge “lội ngược dòng” sau khi bị hack 326 triệu USD