Огромные и кратковременные вливания ликвидности позволяют проводить арбитражные операции в DeFi-протоколах, использующих смарт-контракты, поставляющие котировки из атакуемых хакерами площадок.
Аналитики PeckShield раскрыли подробности подобной атаки, проведенной на стартап Cheese Bank. Разработчики использовали протокол автоматического маркетмейкинга, для определения стоимости собственного служебного токена CHEESE, принимаемого как залог по кредитам, выдаваемых в стаблкоинах.
Хакеры бесплатно заняли 21 000 ETH, оформив флеш-кредит на платформе dXdY и провели серию операций, по покупке CHEESE и размещению токена в качестве залога по кредиту в WETH, которые в свою очередь были направлены на покупку стаблкоинов трех видов: DAI, USDC и USDT.
Манипулирование стоимостью CHEESE, через многоходовые обмены, нарушало привязку стаблкоинов к WETH. Это позволяло хакерам зарабатывать «деньги из воздуха» при каждом обмене внутри пула, на разные виды токенов между собой. Доход хакера составил $3,3 млн, платформа устранила баг, но была вынуждена закрыть ряд функций смарт-контракта.
Стартап BProtocol нашел способ обхода условий ликвидации залогов, под которые выпускаются стаблкоины DAI. По правилам сервиса MakerDAO, как только курс криптоактива опускается ниже 150%, обеспечение продается по рынку за минусом 13% комиссионных расходов.
Это касается всех залогов, кроме мелких взносов. Разработчики не стали с ними возиться из-за высокой стоимости газа, разрешая опускаться ниже 150%. Стартап BProtocol разбивал свои залоги по $128, обходя правила ликвидации.
В ходе эксперимента было подсчитано, что разбивка хранилища в $1 млн на мелкие лоты, обойдется инвестору в 0,5% затрат на газ, но позволит сэкономить 13%, избежав ликвидации
В MakerDAO уже приступили к обсуждению этой проблемы, возможно в скором времени будет поднят порог минимального взноса для выпуска DAI.
Хакер вывел $6 млн из смарт-контакта Value DeFi после заявлений об устойчивости системы к атакам