A Edel, um protocolo de crédito DeFi que aceita ações tokenizadas como caução, revelou cerca de 403.000 dólares em perdas resultantes de um exploit que atingiu as camadas de wrapper e de oracle da sua ação tokenizada da Google. O atacante manipulou a taxa de câmbio entre wGOOGLx, uma versão wrapped da ação tokenizada da Google da Edel, e a GOOGLx subjacente, inflação o valor da caução em cerca de 78x antes de contrair empréstimos contra ela. Os fundos roubados incluíram 384.215 USDC, além de posições wrapped em SPYx, QQQx, MSTRx, NVDAx e TSLAx. As empresas de segurança apresentaram números diferentes: a Cyvers apontou cerca de 353.000 dólares, a GoPlus cerca de 403.000 dólares em perdas e aproximadamente 305.000 dólares de lucro do atacante, e a CertiK cerca de 204.000 dólares drenados, com a divergência a refletir medições diferentes de dívida tóxica, perda bruta e lucro líquido.
A Edel afirmou que nenhum depositante suportará perdas. A equipa absorverá a dívida tóxica, reporá os saldos afetados um por um e reconstruirá a arquitetura do oracle para um lançamento da versão dois. A SlowMist atribuiu a causa raiz à fonte de preços da Edel, que utilizava latestAnswer() para ler a taxa convertToAssets() do cofre estilo ERC-4626. Essa taxa de conversão pode ser movida por um atacante que controle fluxo suficiente do ativo subjacente. A GoPlus observou que o atacante recorreu a um flash loan para fornecer e contrair empréstimos repetidamente, distorcendo a taxa de conversão wGOOGLx/GOOGLx, e a CertiK descreveu a mesma falha do lado do crédito: a caução wGOOGLx inflada passou então a sustentar ativos emprestados reais.
Porque importa
A novidade é a classe de ativo, não a técnica. Flash loans, ataques à taxa de câmbio ERC-4626 e manipulação de oracle já surgiram em exploits de DeFi ao longo dos anos; o que a Edel acrescenta é um wrapper construído à volta de uma ação tokenizada, o que introduz um segundo problema de定价 por cima da própria ação. Um mercado de crédito tem agora de価格 não só a ação, mas também a versão wrapped sobre ela, a taxa convertToAssets() do cofre e o caminho do oracle que reporta um valor. O preço da ação da Alphabet não se mexeu durante o exploit. O desfasamento entre o respaldo ao nível do emissor e a定价 na cadeia é a brecha por onde o atacante passou.
As ações tokenizadas têm crescido depressa na faixa das cauções. A RWA.xyz aponta para um valor onchain das ações tokenizadas de 1,7 mil milhões de dólares, com um volume mensal de transferências de 8,92 mil milhões de dólares e mais de 396.000 detentores. A xStocks lista mais de 100 ações e ETFs em mais de 50 plataformas, com 25 mil milhões de dólares em volume total de transações.
Perguntas frequentes
-
O que foi exatamente explorado no incidente da Edel?
A taxa de câmbio entre wGOOGLx e o token GOOGLx subjacente foi manipulada com recurso a um flash loan, empurrando o valor de caução do token wrapped para cerca de 78x o nível correto antes de serem emprestados ativos reais contra ela.
-
O preço da ação da Alphabet mexeu-se durante o exploit?
Não. A falha estava nas camadas de wrapper e de oracle usadas pela Edel para precificar a sua ação tokenizada da Google, e não no preço da ação da Alphabet.
-
Quanto se perdeu e quem está a cobrir essas perdas?
As empresas de segurança apresentaram números entre cerca de 204.000 e 403.000 dólares, consoante se meça dívida tóxica, perda bruta ou lucro líquido do atacante. A Edel afirmou que nenhum depositante suporta perdas e que a equipa vai absorver a dívida tóxica um por um.
-
Porque é que este exploit difere dos ataques anteriores de oracle em DeFi?
As técnicas subjacentes (flash loans, manipulação de taxas ERC-4626) já são conhecidas. A novidade é a classe de ativo: ações tokenizadas wrapped introduzem uma segunda camada de定价 sobre a própria ação, e a Edel parece ser o primeiro exploit claro sobre caução de ações tokenizadas conhecido.
-
Qual é o tamanho atual do mercado de ações tokenizadas?
A RWA.xyz aponta para um valor onchain das ações tokenizadas de 1,7 mil milhões de dólares, com um volume mensal de transferências de 8,92 mil milhões e mais de 396.000 detentores. Só a xStocks lista mais de 100 ações e ETFs em mais de 50 plataformas integradas.