A carregar preços…
🩸BEARISH

Edel Oracle paga $24M por preço de timestamp futuro

O exploit atingiu a Edel, mas a falha está nos mercados de crédito assentes em ações tokenizadas, onde a cobertura 1:1 por ações pouco vale se o wrapper, o cofre e a taxa de câmbio puderem ser manipulados.

Um oráculo na Edel, um mercado de crédito DeFi assente em ações tokenizadas, pagou até $24 milhões contra garantias cujo preço foi lido a partir de um timestamp futuro, segundo uma análise de Gino Matos. O atacante não precisou que a ação subjacente se mexesse; o feed de preços do protocolo confiou num contrato wrapper que qualquer utilizador podia distorcer momentaneamente através de uma manipulação ao estilo flash da taxa de câmbio do ativo tokenizado face ao seu cofre.

Porque importa

As ações tokenizadas são apresentadas como um primitivo de crédito 1:1: manter a ação no back end, emitir o wrapper on-chain e emprestar contra ele. A Edel mostra que esse primitivo quebra no momento em que o wrapper se descola, ainda que brevemente, do ativo subjacente. Se o oráculo aceitar um preço de wrapper manipulado como input de garantia, uma sobrecolateralização de 100% no papel torna-se, na prática, profundamente subcolateralizada. A mesma forma de falha aplica-se a qualquer mercado de empréstimos que use um cofre de ações tokenizadas como fonte de preço.

Impacto no mercado

O valor em dólares é contido, mas o precedente cai no centro da próxima fronteira da tokenização: mercados de crédito sobre ações tokenizadas, não apenas negociação de ações tokenizadas. Todos os protocolos que emprestam contra um wrapper sintético de ações têm agora de responder se o seu oráculo vê para lá do wrapper até à ação real, ou se fica pelo token manipulável.

Perguntas frequentes

  1. Como poderiam ser evitados exploits semelhantes?

    Os oráculos têm de precificar a ação subjacente, não o wrapper, e os mercados de empréstimos precisam de circuit breakers que detetem o descolamento entre wrapper e cofre. Feeds limitados ao wrapper não são inputs de garantia seguros.

Atribuição da fonte
Agregado de CryptoSlate · Verificado · Última atualização há 58m
Abrir original →