
去中心化金融领域的借贷协议 Edel 宣布了一起价值 403,000 美元的漏洞利用事件,该事件发生在尝试将代币化股票用作抵押品的层级。根据协议的声明,任何存款人都不会受到此损失的影响,团队将承担产生的坏账,并采取一对一的方式恢复受影响的余额。此外,声明指出,为了防止此类安全漏洞再次发生,协议的 Oracle 架构将为第二版进行重建。Edel 管理层保证将承担必要的财务责任,以确保该事件不会对用户资金造成损害。
攻击的核心机制是操纵 Edel 的代币化 Google 股票的包装版本 wGOOGLx 与围绕它的 GOOGLx 代币之间的汇率。根据 Edel 的声明,这种操纵将 wGOOGLx 的抵押品价值虚增了约 78 倍,破坏了系统的平衡。SlowMist 团队的调查发现,问题的根源在于 Edel 的价格来源,系统使用 `latestAnswer()` 方法返回 ERC-4626 风格库的 `convertToAssets()` 比率。攻击者在获得足够的流量控制后,可以操纵该转换比率,由于 Edel 的价格馈送直接读取该数据,因此产生了安全漏洞。
安全公司 CertiK 分析了该事件,指出攻击者通过跟踪 wGOOGLx 的 GOOGLx 余额的机制操纵了 wGOOGLx 的抵押品价格,随后借入了虚增价值的资金。GoPlus 团队发现,攻击者利用闪电贷(flash loan)实施了此操作,并通过反复提供抵押品和借款来破坏 wGOOGLx/GOOGLx 的兑换比率。凭借这种虚增的抵押品价值,攻击者从协议中提取了 384,215 USDC 以及包括 SPYx、QQQx、MSTRx、NVDAx 和 TSLAx 在内的真实资产包装头寸。
不同的安全公司对事件成本给出了不同的数字;Cyvers 估计损失约为 353,000 美元,GoPlus 估计损失为 403,000 美元,攻击者利润为 305,000 美元,而 CertiK 测量的被毁坏资金为 204,000 美元。这种数字差异被认为是由于每家公司衡量坏账、总损失和净攻击者利润等不同指标所致,具体取决于事件财务规模的计算方式。关键失败在于包装代币与其底层对应物之间的兑换比率,Edel 的借贷市场将这种关系定价为似乎是稳定的。强调指出,Alphabet 股价的变化并未引发此次利用,这完全是一种技术性操纵。
市场总体数据显示,根据 RWA.xyz 的数据,代币化股票的链上价值约为 17 亿美元,过去 30 天内增长了 2.17%。月转账量处于 89.2 亿美元水平,而总用户数超过 396,000,展示了该行业的规模。像 xStocks 这样的平台在 50 多个集成平台上列出了 100 多只股票和 ETF,而像 Kamino 这样的协议作为首批接受代币化股票作为抵押品的主要借贷平台之一脱颖而出。随着 Robinhood 也计划在 2025 年为欧盟客户推出股票和 ETF 代币,代币化股票像其他加密资产一样移动和建立联系被作为一个卖点。然而,随着 Edel 发生的事件,这一现实再次提醒市场,当这些资产开始像加密货币一样运作时,也可能像加密货币一样崩溃。
询问这条新闻
回答由AI仅根据本新闻生成。