A carregar preços…
🩸BEARISH

Edel Finance perde 403 mil dólares em falha de wrapping da GOOGLx

A dívida incobrável de 403 mil dólares foi pequena, mas o modo de falha é um contra o qual a DeFi não consegue parar de esbarrar: manipular a leitura que um protocolo faz de um preço, em vez do preço em si, desta vez através de uma ação tokenizada da Google.

Edel Finance perde 403 mil dólares em falha de wrapping da GOOGLx
Edel Finance perde 403 mil dólares em falha de wrapping da GOOGLx
Edel Finance perde 403 mil dólares em falha de wrapping da GOOGLx
Edel Finance perde 403 mil dólares em falha de wrapping da GOOGLx

A Edel Finance suspendeu, na terça-feira, o seu protocolo de concessão de empréstimos da versão um, depois de um atacante ter inflacionado o valor de uma ação tokenizada ewrapped da Google para cerca de 78 vezes o seu preço real e ter contraído empréstimos contra ela, deixando aproximadamente 403 mil dólares em dívida incobrável. O alvo foi a wGOOGLx, a forma wrapped da GOOGLx, que a Edel aceitava como garantia no seu mercado de empréstimos.

A definição do preço não era o ponto fraco. A Edel afirmou que os seus oráculos da Chainlink reportaram corretamente o preço da ação da Alphabet em cerca de 357 dólares. A falha residia no mecanismo de wrapping, na forma como a GOOGLx convertia de e para wGOOGLx, o que permitiu ao atacante levantar ativos reais contra garantia mal precificada, mesmo com o feed de preços subjacente a manter-se correto.

Por que importa

A exploração insere-se numa das categorias de ataque mais persistentes da DeFi: manipular o preço que um protocolo lê, em vez de invadir o protocolo propriamente dito. A CertiK e a OWASP Smart Contract Top 10 incluem, ambos, vetores de oráculo e manipulação de preço entre os mais comuns no setor, ficando apenas atrás das falhas em pontes cross-chain, que estiveram na origem dos maiores furtos do ano, incluindo os 292 milhões de dólares drenados da Kelp DAO em abril. Na maioria destes incidentes, o código comporta-se exatamente como foi escrito; a perda resulta de uma lacuna lógica que os autores não anteciparam.

A tokenização de ações acrescenta uma camada adicional a essa superfície. Colocar ações de empresas reais, como a Google, em cadeia introduz etapas de wrapping e conversão entre a ação e o preço, e cada etapa adicional é mais um ponto onde um atacante pode introduzir uma má precificação que o oráculo a montante nunca chega a ver.

Impacto no mercado

A Edel indicou que rastreou as transações do atacante, suspendeu todos os contratos da versão um, que permanecem congelados, e está a coordenar-se com corretoras. A equipa ofereceu ao atacante um acordo de white-hat dentro de uma janela definida. Nenhum depositante terá prejuízo: a Edel está a absorver a dívida incobrável e a restaurar os saldos na proporção de um para um, e está a lançar um sistema redesenhado da versão dois destinado a bloquear esta mesma classe de manipulação, com uma análise técnica completa a ser divulgada. O valor em dólares é pequeno, mas o padrão continua a repetir-se sempre que novos tipos de garantia encontram código de empréstimo mais antigo.

Perguntas frequentes

  1. O que foi exatamente explorado no ataque à Edel Finance?

    Um atacante manipulou a taxa de câmbio entre a GOOGLx e a sua forma wrapped, a wGOOGLx, inflacionando o valor do token wrapped para cerca de 78 vezes o preço real da ação da Google e contraindo empréstimos de ativos reais contra ele. Os oráculos da Chainlink reportaram corretamente o preço da Alphabet em cerca de 357…

  2. Quanto dinheiro se perdeu na exploração da Edel Finance?

    Foram criados cerca de 403 mil dólares em dívida incobrável quando o atacante contraiu empréstimos contra a garantia inflacionada. A Edel afirmou que vai absorver as perdas para que nenhum depositante seja afetado, e os saldos estão a ser restaurados na proporção de um para um.

  3. Vão os utilizadores da Edel Finance perder os seus fundos?

    Não. A Edel afirmou que a equipa está a absorver a dívida incobrável e a restaurar todos os saldos dos depositantes na proporção de um para um. Os contratos da versão um do protocolo permanecem suspensos e congelados.

  4. Porque é que este tipo de exploração é comum na DeFi?

    Os vetores de oráculo e manipulação de preço estão entre as classes de ataques a smart contracts mais comuns, figurando apenas atrás das falhas em pontes cross-chain na OWASP Smart Contract Top 10 e nos relatórios da CertiK. Na maioria dos casos, o código funciona exatamente como foi escrito; a lacuna está na lógica…

  5. O que está a Edel a fazer para prevenir outra exploração?

    A Edel está a lançar um sistema redesenhado da versão dois, com uma nova configuração de preços destinada a bloquear esta mesma classe de manipulação. A equipa também ofereceu ao atacante um acordo de white-hat dentro de uma janela definida e está a coordenar-se com corretoras.

Atribuição da fonte
Agregado de CoinDesk · Verificado · Última atualização há 1h
Abrir original →