Το Curve Finance, είναι ένας βασικός πυλώνας του οικοσυστήματος DeFi, το οποίο παραβιάστηκε πρόσφατα για ~$62 εκατομμύρια μέχρι στιγμής, προκαλώντας ανησυχία στην αγορά των κρυπτονομισμάτων. Πιθανή κατάρρευση θα μπορούσε να προκαλέσει αλυσιδωτές συνέπειες για όλο το DeFi οικοσύστημα.
Το Curve Finance είναι ένα δημοφιλές αποκεντρωμένο χρηματιστήριο (DEX), το οποίο επιτρέπει στους χρήστες να ανταλλάσσουν παρόμοια περιουσιακά στοιχεία όπως το Ethereum με το Staked Ethereum ή το USDT της Tether για το USDC της Circle. Παράλληλα δίνει άμεση ρευστότητα με αντίστοιχες εγγυήσεις. Ο ιδρυτής του Curve Finance είναι ο Michael Egorov, ο οποίος σήμερα κινδυνεύει να ρευστοποιηθεί.
Η παραβίαση διαπιστώθηκε την Κυριακή 30/7 και το απόγευμα της ίδια μέρας η Vyper, (η ομάδα πίσω από μια γλώσσα έξυπνων συμβολαίων βασισμένη σε Python και συμβατή με δίκτυα EVM που χρησιμοποιεί το Curve), αποκάλυψε ότι οι τελευταίες εκδόσεις της δεν εφάρμοζαν σωστά τις διασφαλίσεις έναντι των επιθέσεων επανεισόδου (reentrancy attacks).
PSA: Vyper versions 0.2.15, 0.2.16 and 0.3.0 are vulnerable to malfunctioning reentrancy locks. The investigation is ongoing but any project relying on these versions should immediately reach out to us.
— Vyper (@vyperlang) July 30, 2023
Μια επίθεση επανεισόδου είναι ένας κακόβουλος ελιγμός στον οποίο ένας εισβολέας καλεί επανειλημμένα μια συνάρτηση μέσα σε ένα έξυπνο συμβόλαιο πριν ολοκληρωθεί η προηγούμενη κλήση της συνάρτησης, εκμεταλλευόμενος τη λογική του συμβολαίου για να εξαντλήσει χρήματα.
Μέχρι τη στιγμή που η Curve απάντησε στο ζήτημα, είχαν κλαπεί ήδη $26,76 εκατομμύρια από τα pools των stablepools alETH, msETH και pETH. Ως πρώτη αντίδραση, η τιμή του εγγενούς token CRV έπεσε 20% μέσα σε λίγες ώρες. Στη συνέχεια, το pool CRV/ETH αποστραγγίστηκε κατά 32 εκατομμύρια CRV tokens. Ο κόσμος τότε άρχισε να συνειδητοποιεί τη σοβαρότητα του exploit, καθώς το CRV/ETH είναι ένα βασικό Curve LP.
Με την αυξανόμενη πίεση πώλησης στο CRV, οι άνθρωποι άρχισαν να στρέφουν την προσοχή τους στη θέση του Michael Egorov ο οποίος έχει δάνειο ~$100 εκατομμυρίων με εγγύηση $427,5 εκατομμύρια σε CRV (περίπου το 47% της κυκλοφορίας). Ο χάκερ έχει ~7 εκατομμύρια Curve στο πορτοφόλι του αυτή τη στιγμή και όπως όλοι, γνωρίζει την ευάλωτη θέση του ιδρυτή.
Ως απάντηση στις φήμες και τον κίνδυνο, ο Michael άρχισε να αποπληρώνει μέρος του δανείου του. Μετά την παραβίαση του Curve, ξεπλήρωσε 4,63 εκατομμύρια USDT ενώ κατέθεσε και 16 εκατομμύρια CRV tokens (αξίας ~$10,1 εκατομμυρίων) στο Aave. Ωστόσο, οι αναλυτές blockchain παρατήρησαν γρήγορα ότι έψαχνε για επιπλέον μετρητά, κάτι που φούντωσε τις φήμες ότι ο Michael δεν είναι σε θέση να συγκεντρώσει αρκετή ρευστότητα για να αποπληρώσει τα δάνειά του. Αυτό οδήγησε σε ανανεωμένο φόβο για ένα ακόμη ξεπούλημα των CRV tokens. Εδώ να σημειώσουμε ότι τα επιτόκια δανεισμού είναι κυμαινόμενα και λόγω της κατάστασης άρχισαν να αυξάνονται εκθετικά.
Χθες όμως βρέθηκαν άνθρωποι να στηρίξουν το Curve Finance, όπως ο Andrew Kang που το είχε στηρίξει και στο παρελθόν (στην ευπάθεια Avi Eisenberg το 2022) καθώς και ο Justin Sun ο οποίος φημολογείται ότι έδωσε μέρος της ρευστότητας που χρειάζεται με ανταλλαγή Over the Counter (OTC) των CRV tokens του ιδρυτή.
Σήμερα υπάρχουν ακόμα πολλά άγνωστα σημεία της υπόθεσης. Η κατάσταση είναι ότι η ομάδα χακερ έχει αντλήσει σοβαρή ποσότητα της ρευστότητας του πρωτοκόλλου και δε γνωρίζουμε τα επόμενα βήματά της. Όμως η ρευστότητα αλλά και το συναίσθημα από χθες άρχισαν να βελτιώνονται μετά τις παρεμβάσεις στο Curve Finance, ενώ αρκετοί βρήκαν ευκαιρία να αγοράσουν με χαμηλή τιμή CRV tokens. Το δάνειο βέβαια του ιδρυτή παραμένει ανεξόφλητο και ικανό για ντόμινο κατάρρευσης.
Όσο για τις πιθανές επιπτώσεις στο DeFi οικοσύστημα; Ένα ακόμη hack σίγουρα δεν είναι καλό για ένα τομέα που έχει ήδη περάσει πολλά πρόσφατα. Ακόμη και να ξεπεραστεί το συμβάν, έχει κλονιστεί η εμπιστοσύνη των χρηστών σε ένα τομέα που έδειχνε φαβορί αποδόσεων και για το επόμενο bull market.