DeFi đã chết? Chainlink cứu biệt thự Úc của người sáng lập Curve?
Tuyển chọn TechFlowTuyển chọn TechFlow
DeFi đã chết? Chainlink cứu biệt thự Úc của người sáng lập Curve?
Các bạn nói DeFi không còn tồn tại nữa, điều đó chưa đủ buồn, buồn hơn cả là nếu blockchain không còn tồn tại.
Chuyên sâu báo cáo Web3Tác giả: TechFlow Cleaners
Ngày 30 tháng 7, lại là một đêm kinh hoàng nữa đối với DeFi.
21:10, nhóm thanh khoản pETH-ETH bị tấn công
22:50, nhóm thanh khoản msETH-ETH bị tấn công
23:34, nhóm thanh khoản alETH-ETH bị tấn công
03:08, nhóm thanh khoản CRV-ETH bị tấn công
……
Theo theo dõi từ tổ chức an ninh PeckShield, tính đến 7:26 sáng ngày 31 tháng 7 (giờ Bắc Kinh), sự cố tấn công vào các bể thanh khoản stablecoin của Curve Finance đã khiến Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis và bể CRV/ETH chịu tổn thất tích lũy lên tới 52 triệu USD.
Là nền tảng cơ bản của hệ sinh thái DeFi, sự kiện lần này tại Curve Finance khiến không ít người thốt lên “DeFi đã chết”, Shen Yu trên Twitter cho biết: “Mùa đông đang đến”.
Nguồn gốc sự cố an ninh ở đâu?
Theo đội ngũ Curve Finance, nguyên nhân là do một số phiên bản ngôn ngữ lập trình Vyper trên Ethereum gặp lỗi khóa đệ quy. Nhiều bể stablecoin sử dụng Vyper 0.2.15 (alETH/msETH/pETH) đã bị tấn công, trong khi hợp đồng crvUSD và các bể thanh khoản khác không bị ảnh hưởng.
Vyper là một ngôn ngữ phát triển hoàn toàn mới trên Ethereum, ra đời năm 2017. Trước khi có Vyper, ngôn ngữ phổ biến nhất để viết hợp đồng thông minh là Solidity. So với Solidity, về lý thuyết Vyper đơn giản và an toàn hơn. Một số dự án nổi bật sử dụng Vyper gồm Uniswap v1, hợp đồng gửi tiền ETH 2.0 đầu tiên và Curve Finance.
Hiện tại, phiên bản mới của Vyper đã khắc phục được lỗ hổng tồn tại, tuy nhiên các hợp đồng bể thanh khoản Curve bị tấn công đều không thể nâng cấp.
Do đó, thủ phạm thực sự chính là ngôn ngữ lập trình nền tảng Vyper chứ không phải bản thân Curve. Nhiều người thở phào nhẹ nhõm, cho rằng việc nói “DeFi đã chết” có lẽ hơi quá lời. Nhưng suy nghĩ kỹ lại, họ không khỏi rùng mình: “So với vấn đề ứng dụng, lỗ hổng ở ngôn ngữ nền tảng còn đáng sợ hơn nhiều!”
KOL tiền mã hóa CM đăng tweet cho biết: “Curve bị hack, vấn đề kỹ thuật thuộc về Vyper, đúng là rút cái nền đi, đây không còn là vấn đề của giao thức hay thiết kế hợp đồng thông minh nữa. Nếu Solidity cũng có khả năng xảy ra sự cố tương tự, thì mọi ứng dụng trên chuỗi sẽ không còn an toàn gì cả. Vì vậy, khi các bạn nói DeFi không còn tồn tại, điều đó chưa đủ bi thương. Bi thương hơn cả là nếu blockchain không còn tồn tại.”
Trong thời điểm hiện nay, khi EVM của Ethereum đang thống trị tuyệt đối, vấn đề an ninh trở thành thanh kiếm Damocles treo trên đầu tất cả các dự án. Từ khi ra đời đến nay, Solidity đã chứng kiến rất nhiều sự cố an ninh, ví dụ như cuộc tấn công lặp lại (reentrancy attack) từng khiến Ethereum phân nhánh thành ETH và ETC (Classic). Tuy nhiên, Solidity đã xây dựng được bức tường rào sinh thái vững chắc của riêng mình, dù là công cụ phát triển hay cộng đồng lập trình viên.
Tương tự như trường hợp MetaMask bị người dùng phàn nàn vì trải nghiệm kém, nhưng chỉ riêng trải nghiệm tốt hơn thôi thì vẫn không thể thách thức được vị thế của MetaMask. Cũng như vậy, các chuỗi công khai mới dù có tuyên bố "nhanh hơn, an toàn hơn" cũng khó phá vỡ được vị thế bá chủ tuyệt đối của EVM Ethereum.
Tuy nhiên, chúng ta vẫn mong chờ sự xuất hiện của những đối thủ thách thức. Nếu không, thế giới cứ mãi “theo chân Vitalik mà đi” thì thật quá nhàm chán.
Song hành cùng đợt giảm giá 15% của CRV, một chuyện lớn đáng quan tâm khác là tình hình nợ nần của Michael Egorov - nhà sáng lập CRV trên các giao thức cho vay.
Sau sự kiện hacker, Egorov đã nhanh chóng hoàn trả một phần vốn trên các nền tảng cho vay, đồng thời tăng tài sản ký quỹ CRV.
Theo thống kê từ nhà nghiên cứu tiền mã hóa 0xLoki, hiện tại Egorov đã ký quỹ tích lũy hơn 292 triệu CRV (181 triệu USD), vay ra 110 triệu USD, cụ thể:
1. Trên AAVE ký quỹ 190 triệu CRV, vay 65 triệu USD, giá thanh lý là 0,37 USD;
2. Trên FRAXlend ký quỹ 46 triệu CRV, vay 21 triệu FRAX, giá thanh lý là 0,4 USD;
3. Trên Abracadabra gửi vào 40 triệu CRV, vay 18 triệu USD, giá thanh lý là 0,39 USD;
4. Trên Inverse gửi vào 16 triệu CRV, vay 7 triệu USD, giá thanh lý là 0,4 USD.
Theo dữ liệu chuỗi, giá CRV từng rơi xuống mức 0,08 USD, nhưng không gây ra bất kỳ lệnh thanh lý nào đối với CRV đang ký quỹ, lý do là vì AAVE sử dụng oracle Chainlink để cung cấp giá.
Cụ thể hơn, Chainlink không sử dụng dữ liệu chuỗi đơn lẻ, mà dùng giá trung bình trọng số khối lượng giao dịch (VWAP), kết hợp dữ liệu từ mỗi sàn giao dịch (CEX/DEX) rồi tính trung bình, đồng thời căn cứ vào khối lượng giao dịch để phân bổ trọng số. Các bộ tổng hợp dữ liệu thường xem xét các khác biệt giữa các sàn giao dịch, ví dụ như độ sâu thị trường, độ trễ và chênh lệch giá, đồng thời lọc bỏ các hiện tượng bất thường như sập giá chớp nhoáng, giao dịch làm sạch và các ngoại lệ thị trường khác, để tránh ảnh hưởng đến điểm dữ liệu tổng hợp cuối cùng. Do đó, giá bất thường ngắn hạn trên chuỗi không khiến CRV đang ký quỹ bị thanh lý.
Ngoài ra, theo tài liệu kỹ thuật chính thức của AAVE V2, họ trước tiên gọi giá từ Chainlink; nếu giá thấp hơn hoặc bằng 0, họ sẽ sử dụng oracle dự phòng do chính họ duy trì, chỉ là không rõ 0,08 có thuộc trường hợp này hay không?
Dù sao đi nữa, Chainlink coi như đã cứu Curve, và có thể còn cứu luôn cả biệt thự ở Úc của nhà sáng lập Miache.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
