Curve Finance, nền tảng DeFi hàng đầu trên Ethereum, vừa bị tấn công hàng loat trong vòng 24 giờ qua.

Theo thông báo từ dự án, một loạt các nhóm stablepool (alETH/msETH/pETH) sử dụng ngôn ngữ lập trình Vyper 0.2.15 đã bị tấn công lặp đi lặp lại (reentracy attack).

Lỗ hổng reentrancy cho phép kẻ tấn công lặp lại việc thực thi một hàm trong hợp đồng trước khi nó kết thúc, từ đó tạo ra nhiều lần giao dịch không mong muốn và ảnh hưởng đến cân bằng và an toàn của hệ thống.

Theo điều tra ban đầu, một số phiên bản của trình biên dịch Vyper không triển khai chính xác trình bảo vệ truy cập lại, điều này ngăn nhiều chức năng được thực thi cùng lúc bằng cách khóa hợp đồng. Các cuộc tấn công vào lại có khả năng rút hết tiền từ một hợp đồng.

Vyper là một ngôn ngữ lập trình Pythonic, hướng đến hợp đồng, nhắm mục tiêu Máy ảo Ethereum (EVM). Những điểm tương đồng của Vyper với Python khiến ngôn ngữ này trở thành một trong những điểm khởi đầu cho các nhà phát triển Python nhảy vào Web3.

Việc khai thác đã gây ra sự hoảng loạn trên toàn hệ sinh thái DeFi, thúc đẩy một làn sóng giao dịch trên các nhóm và chiến dịch giải cứu mũ trắng. Dữ liệu từ CoinMarketCap cho thấy token tiện ích Curve DAO (CRV) của Curve Finance giảm hơn 5% trước tin tức này. Theo Curve Finance, các hợp đồng crvUSD và bất kỳ nhóm nào với nó không bị ảnh hưởng bởi cuộc tấn công.

Curve Finance là một giao thức DeFi cho phép trao đổi phi tập trung các stablecoin trong Ethereum. Giao thức đã được nhắm mục tiêu bởi một loạt các sự cố trong hệ sinh thái của nó. Chỉ vài ngày trước, nền tảng đa quỹ Conic Finance của nó đã được khai thác với giá 3,26 triệu đô la Ether với gần như toàn bộ số tiền bị đánh cắp được gửi đến một địa chỉ Ethereum mới chỉ trong một giao dịch.

Các giao thức DeFi đã trở thành mục tiêu của nhiều cuộc tấn công trong những tháng qua. Theo một báo cáo của ứng dụng danh mục đầu tư Web3 De.Fi, hơn 204 triệu đô la đã bị lừa thông qua các vụ hack và lừa đảo DeFi chỉ trong quý 2 năm 2023.