Edel Finance detuvo su protocolo de lending versión uno el martes después de que un atacante inflara el valor de una acción tokenizada de Google envuelta hasta aproximadamente 78 veces su precio real y tomara préstamos contra ella, dejando cerca de 403.000 $ en deuda incobrable. El objetivo fue wGOOGLx, la versión envuelta de GOOGLx, que Edel aceptaba como colateral en su mercado de préstamos.
El precio no fue el punto débil. Edel señaló que sus oráculos de Chainlink informaron correctamente el precio de la acción de Alphabet en torno a 357 $. La falla estaba en el mecanismo de envoltura, en cómo GOOGLx se convertía hacia y desde wGOOGLx, lo que permitió al atacante tomar activos reales como préstamo contra un colateral malpriced incluso con el feed de precios subyacente manteniéndose preciso.
Por qué importa
El exploit cae en una de las categorías de ataque más persistentes de DeFi: manipular el precio que un protocolo lee en lugar de irrumpir en el propio protocolo. CertiK y el OWASP Smart Contract Top 10 señalan los vectores de oráculo y manipulación de precios como de los más comunes del sector, solo por detrás de las fallas en puentes cross-chain, que generaron los mayores robos individuales del año, incluidos los 292 millones $ extraídos de Kelp DAO en abril. En la mayoría de estos incidentes, el código se comporta exactamente como está escrito; la pérdida es una brecha lógica que los autores no anticiparon.
Las acciones tokenizadas añaden una capa nueva a esa superficie. Llevar acciones reales como Google a onchain introduce pasos de envoltura y conversión entre la acción y el precio, y cada paso adicional es otro lugar donde un atacante puede colar una mala valoración que el oráculo upstream nunca llega a ver.
Impacto en el mercado
Edel dijo que rastreó las transacciones del atacante, pausó todos los contratos de la versión uno, que siguen congelados, y está coordinando con exchanges. El equipo ha ofrecido al atacante un acuerdo white-hat dentro de una ventana determinada. Ningún depositante sufrirá pérdidas: Edel está absorbiendo la deuda incobrable y restaurando saldos uno a uno, y está desplegando un sistema versión dos rediseñado, orientado a bloquear la misma clase de manipulación, con un desglose técnico completo por venir. La cifra en dólares es pequeña, pero el patrón se repite allá donde tipos nuevos de colateral se encuentran con código de lending más antiguo.
Preguntas frecuentes
-
¿Qué se explotó exactamente en el ataque a Edel Finance?
Un atacante manipuló la tasa de cambio entre GOOGLx y su versión envuelta wGOOGLx, inflando el valor del token envuelto hasta unas 78 veces el precio real de la acción de Google y tomando activos reales como préstamo. Los oráculos de Chainlink reportaron correctamente el precio de Alphabet en torno a 357 $.
-
¿Cuánto dinero se perdió en el exploit de Edel Finance?
Se generaron cerca de 403.000 $ en deuda incobrable cuando el atacante tomó préstamos contra el colateral inflado. Edel afirmó que absorberá las pérdidas para que ningún depositante resulte afectado y los saldos se están restaurando uno a uno.
-
¿Perderán sus fondos los usuarios de Edel Finance?
No. Edel dijo que el equipo absorbe la deuda incobrable y restaura todos los saldos de los depositantes uno a uno. Los contratos versión uno del protocolo siguen pausados y congelados.
-
¿Por qué este tipo de exploit es común en DeFi?
Los vectores de oráculo y manipulación de precios están entre las clases de ataque a smart contracts más habituales, solo por detrás de las fallas en puentes cross-chain según el OWASP Smart Contract Top 10 y los reportes de CertiK. En la mayoría de los casos el código funciona exactamente como está escrito; la brecha…
-
¿Qué está haciendo Edel para prevenir otro exploit?
Edel está desplegando un sistema versión dos rediseñado con un nuevo esquema de precios orientado a bloquear la misma clase de manipulación. El equipo también ha ofrecido al atacante un acuerdo white-hat dentro de una ventana determinada y está coordinando con exchanges.