Preise werden geladen…
🩸BEARISH

Edel-Oracle zahlt 24 Mio. $ auf Zukunftspreise aus

Der Exploit traf Edel, doch der Fehler steckt in Kreditmärkten auf Basis tokenisierter Aktien, wo eine 1:1-Aktienunterlegung wenig zählt, wenn Wrapper, Vault und Wechselkurs manipulierbar sind.

Ein Oracle auf Edel, einem DeFi-Kreditmarkt auf Basis tokenisierter Aktien, zahlte laut einer Analyse von Gino Matos bis zu 24 Mio. $ gegen Sicherheiten aus, deren Preis aus einem zukünftigen Zeitstempel gelesen wurde. Der Angreifer musste die zugrunde liegende Aktie überhaupt nicht bewegen. Der Preisfeed des Protokolls vertraute einem Wrapper-Vertrag, den jeder Nutzer durch eine Flash-artige Manipulation des Wechselkurses des tokenisierten Assets gegenüber seinem Vault kurzzeitig verzerren konnte.

Warum das wichtig ist

Tokenisierte Aktien werden als 1:1-Kreditprimitive vermarktet: Aktie im Backend halten, On-Chain-Wrapper prägen, dagegen Kredite vergeben. Edel zeigt, dass diese Primitive in dem Moment bricht, in dem sich der Wrapper, selbst nur kurz, vom Basiswert entkoppelt. Wenn das Oracle einen manipulierten Wrapper-Preis als Sicherheiten-Input akzeptiert, wird eine 100%ige Überbesicherung auf dem Papier in der Praxis zu einer massiven Unterbesicherung. Dieselbe Fehlerstruktur betrifft jeden Lending-Markt, der einen Vault für tokenisierte Aktien als Preisquelle nutzt.

Marktauswirkung

Der Dollarbetrag bleibt begrenzt, doch der Präzedenzfall trifft mitten in die nächste Tokenisierungsfront: Kreditmärkte für tokenisierte Aktien, nicht nur deren Handel. Jedes Protokoll, das Kredite gegen einen synthetischen Aktien-Wrapper vergibt, muss nun beantworten, ob sein Oracle durch den Wrapper hindurch auf die echte Aktie blickt oder beim manipulierbaren Token stehen bleibt.

Häufig gestellte Fragen

  1. Wie ließen sich ähnliche Exploits verhindern?

    Oracles müssen die zugrunde liegende Aktie statt des Wrappers bepreisen, und Lending-Märkte brauchen Circuit Breaker, die eine Entkopplung zwischen Wrapper und Vault erkennen. Reine Wrapper-Feeds sind keine sicheren Sicherheiten-Inputs.

Quellenangabe
Aggregiert von CryptoSlate · Verifiziert · Zuletzt aktualisiert vor 58m
Original öffnen →