To rzeczy koszmarów.
W zeszłym tygodniu przemysł kryptowalutowy patrzył z przerażeniem, gdy nieznany trader na blockchainie Ethereum spalił około 50 milionów dolarów, zgadzając się na niezwykle jednostronną wymianę, skierowaną przez aplikacje zdecentralizowanej finansów bez zezwoleń.
Pomimo ostrzeżeń na ekranie, trader zgodził się na wymianę około 50 milionów dolarów wartości stablecoina USDT Tether na 327 tokenów Aave, wartą zaledwie 37 000 dolarów.
„Przed potwierdzeniem transakcji użytkownikowi pokazano wyraźne ostrzeżenie na interfejsie Aave, wskazujące, że transakcja miała niezwykle duży wpływ na cenę” – powiedział Nikita Ovchinnik, CEO Barter, rozwiązania na zdecentralizowanej giełdzie CoW Swap, w rozmowie z DL News.
„Interfejs wymagał dodatkowego kroku potwierdzającego, w tym pola wyboru potwierdzającego ryzyko, zanim zamówienie zostało zatwierdzone na urządzeniu mobilnym.”
Pośmiertne analizy Aave i CoW Swap, aplikacji DeFi, z których korzystał trader, pomogły rzucić światło na krwawe szczegóły.
Problem polegał na tym, że transakcja wykorzystała pulę płynności na zdecentralizowanej giełdzie Sushiswap, która zawierała mniej niż 100 000 dolarów aktywów, aby zrealizować swap o wartości 50 milionów dolarów.
Wielu ekspertów od tego czasu zasugerowało dodatkowe zabezpieczenia, aby zapobiec aplikacjom w serwowaniu wysoce niezrównoważonych transakcji w przyszłości.
Pytanie, które teraz zadają widzowie, nie dotyczy tylko tego, jak pieniądze zostały stracone, ale gdzie one poszły.
Śledząc pieniądze
Największym zwycięzcą incydentu był Titan, tzw. budowniczy bloków na Ethereum, który zarobił co najmniej 35 milionów dolarów, według analizy on-chain przeprowadzonej przez DL News.
Po zrealizowaniu niezrównoważonego swapu, pula płynności, która to umożliwiła, stała się poważnie niezrównoważona. Pierwsza osoba, która zamieniła tokeny Aave na Ether w tej puli, miała szansę otrzymać niezwykle korzystną cenę, około 1 000 razy wyższą niż aktualny kurs rynkowy.
Boty arbitrażowe rzuciły się, aby skorzystać z tej okazji, wraz z innymi, które stały się dostępne dzięki niezrównoważonemu swapowi.
W tym miejscu pojawił się Titan.
Gdy użytkownicy Ethereum chcą przeprowadzać transakcje na blockchainie, wysyłają transakcje do mempoola — poczekalni dla transakcji przed ich dodaniem do blockchaina.
Budowniczowie bloków, tacy jak Titan, biorą te transakcje z mempoola i wpasowują je w bloki. Użytkownicy mogą płacić budowniczym bloków napiwki, aby ich transakcje były uwzględnione przed innymi.
Te boty arbitrażowe zaoferowały podział pieniędzy, które miały do zyskania z równoważenia puli płynności z Titanem, aby zapewnić sobie pierwszeństwo w realizacji.
Wynik? Titan odszedł z około 35 milionami dolarów w napiwkach, podczas gdy same boty zarobiły około 13 milionów dolarów w sumie.
Około 1,2 miliona dolarów z tych napiwków podzielono z Lido, protokołem płynnego stakowania, ponieważ jeden z jego walidatorów był odpowiedzialny za zaproponowanie bloku, który zbudował titan.
Aby być pewnym, nie było żadnego hacka ani eksploatu. Po prostu działający zgodnie z zamierzeniami kod bez uprawnień oraz różne strony działające w ramach ustalonych przez niego.
Wysokie opłaty
Podczas gdy Titan i boty arbitrażowe najbardziej skorzystały z błędu o wartości 50 milionów dolarów, nie były jedynymi, które zarobiły.
Aave, której interfejs strony internetowej trader wykorzystał do złożenia swapu, również wzięła prowizję. Według pośmiertnego raportu protokołu opublikowanego 14 marca, otrzymała nieco ponad 110 000 dolarów, na podstawie 0,25% opłaty, jaką pobiera interfejs strony Aave od użytkowników.
Aave Labs od tego czasu zaoferowało zwrot pobranych opłat. Trader jeszcze nie skorzystał z oferty firmy.
Chociaż transakcja została złożona przez stronę internetową Aave, sam protokół jej nie wykonał. To zostało zlecone CoW Swap.
CoW Swap działa, oferując złożone algorytmy, które konkurują o zrealizowanie swapów po najlepszych możliwych cenach. Jeśli algorytm może zrealizować swap po lepszej cenie niż trader zgodził się, ten nadwyżka jest dzielona między tradera, algorytm i protokół CoW Swap.
Rozwiązywacz CoW Swap, który zrealizował niezrównoważony swap, wygenerował nadwyżkę wynoszącą około czterech tokenów Aave, wartą 452 dolarów. Rozwiązywacz również zarobił opłatę w wysokości około 340 dolarów, według Barter.
Na koniec, pule płynności, które rozwiązywacz CoW Swap wykorzystał do zrealizowania transakcji, również pobrały opłaty.
Transakcja składała się z dwóch części, pierwsza, która zamieniła USDT na Ether, została obsłużona przez Uniswap. Druga, która zamieniła Ether na tokeny Aave po niezwykle niekorzystnym kursie, została obsłużona przez Sushiswap.
Kto jest winny?
Rozmowa wokół incydentu koncentruje się teraz na tym, kto ostatecznie ponosi winę i jak można zapobiec tak niefortunnemu epizodowi w przyszłości.
W swoim pośmiertnym raporcie Aave stwierdziło, że wdraża nową funkcję o nazwie Aave Shield, która domyślnie blokuje wszelkie swapy z wpływem cenowym większym niż 25%.
CoW Swap powiedział w swoim raporcie pośmiertnym, że bada niepowodzenia realizacji rozwiązywaczy i potencjalny wyciek z mempoola oraz planuje opublikować swoje ustalenia w przyszłych aktualizacjach.
„Użytkownik nie ponosi żadnej winy za tę porażkę,” powiedział Ehsan, kanadyjski badacz blockchaina, w następstwie incydentu.
„Integracja adaptera CoW Aave stworzyła złudzenie bezpieczniejszego swapu niż ten, który faktycznie został podpisany. Następnie stos rozwiązywaczy/wyboru płynności CoW wziął to słabe zamówienie i zrealizował je za pośrednictwem puli, która nigdy nie powinna była być dotykana w przypadku tak dużego swapu.”
Ehsan nie jest jedynym, który twierdzi, że trader nie jest odpowiedzialny za błąd.
„Jeśli interfejs wie, że obsługuje niezwykłe zamówienie, pokazanie pola wyboru z ostrzeżeniem nie wystarczy,” powiedział Ovchinnik.
„Powinno aktywnie kierować użytkownika w stronę odpowiednich metod realizacji.”
Tim Craig jest korespondentem DeFi DL News z Edynburga. Skontaktuj się z nim z informacjami pod adresem tim@dlnews.com.