Jemand hat ~36 Millionen verloren, als er aUSDT in aAAVE auf @CoWSwap getauscht hat. Es ist nicht einmal ein Sandwich... nur ein reines Arbitragegeschäft. Ich denke nicht, dass es ein Problem von @aave oder @CoWSwap ist. Der Benutzer tauscht 50 Millionen aUSDT in aAAVE on-chain und es gibt nicht genug Liquidität. Selbst wenn der Benutzer USDT -> AAVE (nicht gewickelter aToken) verwendet, bleibt die Liquidität gleich, sodass solche großen Tauschgeschäfte über TWAP / OTC durchgeführt werden sollten. Nicht atomar on-chain. Die Cow Swap-Frontend zeigt angemessene Warnungen an. P1: Opfer: 0x98B9D979C33dD7284C854909BCC09b51FBF97Ac8, txhash: 0x9fa9feab3c1989a33424728c23e6de07a40a26a98ff7ff5139f3492ce430801f P2: Arbitrage-Transaktion, mit einer Bestechung von 26 Millionen (Arbitrage-Nettoertrag ~9 Millionen).

Der kürzliche Angriff auf @CurveFinance (mit Verlust) und @InverseFinance (ohne Verlust) ist ein Preismanipulationsangriff. Die Hauptursache: Der Liquidationsmechanismus von Curve Lend ist inkompatibel mit atomar veränderbaren Orakeln. Angriffsprozess: (1) Der Angreifer liquidiert sanft alle Sicherheiten der Nutzer. Dadurch "verkaufen" sie ihre Sicherheiten in crvUSD. (2) Der Angreifer spendete an den sDOLA-Pool, um den Orakelpreis zu beeinflussen. (3) Hart-liquidiert alle Nutzer, die sanft liquidiert wurden. Die crvUSD-Schulden der Nutzer werden durch ihre crvUSD-Sicherheiten beglichen, und der verbleibende Betrag geht an den Liquidator (Angreifer). (4) Die gewonnenen sDOLA-Sicherheiten werden in curveLend eingezahlt und crvUSD geliehen (um den Flashloan zurückzuzahlen). Warum ist dieser Angriff passiert? Zuerst hat Curve Lend "sanfte Liquidation" und "harte Liquidation" (vorausgesetzt, Sie kennen bereits die grundlegenden Hintergründe). Die AMM der sanften Liquidation basiert auf dem Orakel und nicht auf der Kurve. Wenn sich der Preis stark atomar ändert, wird der impermanente Verlust sofort realisiert. Selbst wenn der endgültige Preis der Sicherheiten höher ist als zuvor, wurde der Nutzer trotzdem liquidiert (wegen des impermanenten Verlusts, Schritt 1). Während andere darauf hinweisen könnten, dass dies ein Problem bei der Spende von sDOLA ist, möchte ich sagen, dass dies in den meisten Fällen kein Problem ist, es geht nur in Kombination mit der Liquidation schief. Außerdem genießen die $sDOLA-Farmer ihre saftige Übernacht-Rendite von 10%!

Es scheint, dass die Wallet des Besitzers von @Kondux_KNDX gerade kompromittiert wurde, indem sie an einen bösartigen EIP-7702 Implementierungsvertrag delegiert wurde. Der Treasury-Vertrag des Protokolls wurde um ~100k in $KNDX-Token und ~6k in ETH erleichtert. Jetzt hat der kompromittierte Besitzer immer noch die Berechtigung, den NFT-Vertrag (0xc410f83c9b444d72799f83a45a4b5b2fe979e2ee) zu kontrollieren, also bitte die Berechtigungen so schnell wie möglich widerrufen. kompromittierter Besitzer: 0x41BC231d1e2eB583C24cee022A6CBCE5168c9FD2 treasury Vertrag, der das Geld verloren hat: 0xaD2E62E90C63D5c2b905C3F709cC3045AecDAa1E --- Das ist nur meine vorläufige Analyse und ich könnte Fehler machen.