Edel, un protocolo de préstamos DeFi que acepta acciones tokenizadas como colateral, reveló unas pérdidas de aproximadamente 403.000 dólares tras un exploit que golpeó las capas de envoltorio y oráculo de su Google tokenizada. El atacante manipuló el tipo de cambio entre wGOOGLx, una versión envuelta de la Google tokenizada de Edel, y la GOOGLx subyacente, inflando el valor del colateral unas 78 veces antes de tomar préstamos contra él. Los fondos robados incluyeron 384.215 USDC más posiciones envueltas en SPYx, QQQx, MSTRx, NVDAx y TSLAx. Las firmas de seguridad ofrecieron cifras distintas para el titular: Cyvers cifró las pérdidas en unos 353.000 dólares, GoPlus en unos 403.000 dólares y el beneficio del atacante en unos 305.000 dólares, y CertiK en unos 204.000 dólares drenados, una diferencia que refleja distintas mediciones de deuda mala, pérdida bruta y beneficio neto.
Edel aseguró que ningún depositante asumirá pérdidas. El equipo absorberá la deuda mala, restaurará uno a uno los saldos afectados, y reconstruirá la arquitectura del oráculo para una versión dos. SlowMist atribuyó la causa raíz al fuente de precios de Edel, que usaba latestAnswer() para leer la tasa convertToAssets() del bóveda estilo ERC-4626. Esa tasa de conversión puede ser movida por un atacante que controle suficiente flujo subyacente. GoPlus señaló que el atacante usó un flash loan para aportar y pedir prestado de forma repetida, distorsionando la tasa de conversión wGOOGLx/GOOGLx, y CertiK describió el mismo fallo desde el lado del préstamo: el colateral wGOOGLx inflado respaldó entonces activos realmente prestados.
Por qué importa
La novedad es la clase de activo, no la técnica. Los flash loans, los ataques al tipo de cambio de bóvedas ERC-4626 y la manipulación de oráculos llevan años apareciendo en exploits DeFi; lo que Edel añade es un envoltorio construido sobre una acción tokenizada, lo que introduce un segundo problema de precios encima de la propia acción. Un mercado de préstamos tiene ahora que valorar la acción, la versión envuelta encima, la tasa convertToAssets de la bóveda y la ruta del oráculo que reporta un valor. La cotización de Alphabet no se movió durante el exploit. La desconexión entre el respaldo a nivel de emisor y la valoración on-chain es el hueco que el atacante atravesó.
Las acciones tokenizadas han crecido rápido dentro del carril de colateral. RWA.xyz sitúa el valor on-chain de las acciones tokenizadas en 1.700 millones de dólares, con un volumen mensual de transferencias de 8.920 millones de dólares y más de 396.000 tenedores. xStocks lista más de 100 acciones y ETFs repartidos en más de 50 plataformas, con 25.000 millones de dólares en volumen total de transacciones.
Preguntas frecuentes
-
¿Qué se explotó exactamente en el incidente de Edel?
Se manipuló con un flash loan el tipo de cambio entre wGOOGLx y el token GOOGLx subyacente, empujando el valor del colateral del token envuelto a unas 78 veces su nivel correcto antes de tomar prestados activos reales contra él.
-
¿Se movió la cotización de Alphabet durante el exploit?
No. El fallo estaba en las capas de envoltorio y oráculo que Edel usaba para valorar su Google tokenizada, no en la propia cotización de Alphabet.
-
¿Cuánto se perdió y quién lo cubre?
Las firmas de seguridad reportaron cifras de entre unos 204.000 y 403.000 dólares, dependiendo de si se medía deuda mala, pérdida bruta o beneficio neto del atacante. Edel dijo que ningún depositante asume pérdidas y que el equipo absorberá la deuda mala uno a uno.
-
¿En qué se diferencia este exploit de ataques previos a oráculos en DeFi?
Las técnicas subyacentes (flash loans y manipulación de la tasa ERC-4626) son conocidas. La novedad es la clase de activo: las acciones tokenizadas envueltas añaden una segunda capa de precios sobre la propia acción, y Edel parece ser el primer exploit registrado con claridad sobre colateral de acciones tokenizadas.
-
¿Qué tamaño tiene ahora el mercado de acciones tokenizadas?
RWA.xyz cifra el valor on-chain de las acciones tokenizadas en 1.700 millones de dólares, con un volumen mensual de transferencias de 8.920 millones de dólares y más de 396.000 tenedores. Solo xStocks lista más de 100 acciones y ETFs repartidos en más de 50 plataformas integradas.