Oggi vediamo un attacco che è andato in scena qualche giorno fa su Aave, dove un attaccante ha provato ad attaccare la piattaforma di Lending, lasciandogli "bad debit".
Il tutto è iniziato quando il founder di Curve ha messo come collaterale una grossa quantità di supply di CRV (quasi 50 milioni di dollari) su Aave prendendo delle stablecoin in prestito. Un tizio conosciuto con lo pseudonimo di Avi (Ponzishorter.eth), vedendo questa grossa posizione aperta ha provato a liquidarlo, facendo crollare il prezzo. Avi avrebbe messo USDC (58 milioni di dollari) come collaterale, prendendo in prestito 50 milioni di di dollari di CRV (circa 3 volte la liquidità presente on chain) per dumparli su un exchange centralizzato (OKx) mantenendo pressione a ribasso sul prezzo. Tutto ciò provando a seminare il panico (per i tanti CRV presi in prestito) facendo scendere il prezzo di CRV e portando alla liquidazione del founder di Curve. L'idea poi era quella di ricomprare i CRV a minor prezzo, incassare il profitto e prelevare gli USDC. Raggiunto il prezzo di liquidazione di CRV (0.259$), Aave avrebbe dovuto liquidare una posizione enorme (quasi 50 milioni di dollari) con grandi difficoltà (non c'era la possibilità di ri-acquistare i CRV necessari, a causa della poca liquidità on chain). La morale della storia è che chi ha borrowato (il founder di Curve) si sarebbe trovato in perdita e liquidato (se non avesse aggiunto altro collaterale o comunque ne avesse aggiunto meno di Ponzishorter), invece l'attaccante sarebbe andato in profitto. Per la liquidazione di Avi, Aave avrebbe dovuto acquistare 80 milioni di CRV on-chain, aumentando potenzialmente il prezzo. Se il CEO di Curve fosse stato liquidato con la sua posizione da $ 50 milioni in CRV, quest'ultimo avrebbe toccato il fondo indefinitamente, scatenando l'inferno. Avi ha preso in prestito altri 30 milioni di CRV da Aave attraverso due transazioni per dumparli e forzare la liquidazione.
In breve il riepilogo dell'attacco è stato:
-Shortare CRV
-Borroware CRV usando USDC come collaterale su AAVE
-Dumpare CRV
-Prelevare il collaterale USDC, manipolare il prezzo dell'oracolo facilitando i prestiti
-Chiudere lo short di CRV, lasciare Aave con "bad debt"
Mentre l'attacco su Aave era in corso, Curve ha annunciato la sua stablecoin (crvUSD), provocando un pump di CRV. Il seguente short squeeze ha messo in pericolo lo short di Avi portandolo quasi alla liquidazione. In generale questa stable prevede che se il prezzo del collaterale scende troppo, l'AMM convertirà i depositi in stablecoin. Questo modello che funziona attraverso l'algoritmo LLAMMA (Lending-Liquidating Automated Market Maker Algorithm) presenta bassi rischi di crediti inesigibili. LLAMMA calcolerà automaticamente la garanzia e, se il prezzo di questa cambia, verrà convertita in stablecoin. Il crvUSD manterrà il peg sul dollaro attraverso una riserva formata da un deposito asimmetrico in un pool di stableswap composto da una stable e da un token di riferimento riscattabile o da un LP. Questo rilascio è arrivato in un momento provvidenziale, provocando un forte aumento del prezzo di CRV, mettendo in pericolo la posizione di Avi stesso come detto, sino alla liquidazione. Con il pump di CRV, il founder di Curve non ha avuto bisogno di coprire la sua posizione perché c'era abbastanza liquidità nel sistema. Tuttavia anche con la liquidazione andata a buon fine, l'entità della posizione assunta da Avi ha lasciato debito in eccesso all'interno del protocollo (non c'era abbastanza collaterale on chain per la piena liquidazione, quando la posizione è stata chiusa CRV spot ha pompato sino a 0.71$).
Un tweet di Aave: "Un grosso prestito CRV che si era accumulato nell'ultima settimana è stato per lo più cancellato dal processo di liquidazione del protocollo. Tuttavia, la posizione non è stata interamente coperta e rimangono 2,64 milioni di CRV (≈ $ 1,6 milioni al valore attuale). Ciò rappresenta <0,1% dei prestiti sul protocollo"
Avere crediti inesigibili non è mai piacevole. Il buco da $ 1,6 milioni che Aave deve coprire è una lezione da apprendere, specialmente in periodi prolungati di recessione del mercato, dove le attività liquide possono essere soggette a rischi più elevati e tali parametri dovrebbero essere adeguati di conseguenza. Tuttavia, ha anche mostrato una cosa, le liquidazioni funzionano perfettamente. Mentre FTX è finito in bancarotta, la DeFi ha funzionato perfettamente.
La poca liquidità del token CRV su Aave ma anche i requisiti di margine molto bassi sono stati fattori importanti per l'exploit. L'attenzione che ne deriva in questi casi spinge gli utenti ad acquistare il dip in massa per difendere il prezzo di CRV e, gli altri, a cercare di spremere lo short-seller per coprire la propria posizione in perdita.
Un'altra ipotesi è che Aave non potendo coprire le posizioni short di Avi su CRV, poiché la piattaforma non aveva la liquidità sufficiente per riacquistare più del 20% dello short, avrebbe favorito quindi lo short sul token Aave e il calo del prezzo del suo token nativo. Per liquidare la posizione di Avi, i liquidatori di Aave non avrebbero avuto modo di riacquistare tutto il CRV che era stato preso in prestito. Aave avrebbe dovuto vendere quantità significative del suo token per coprire questa perdita.
Lo stesso contro-attaccante aveva drenato gran parte della liquidità su Mango Markets (Solana), mettendo come collaterale Mango (c'era poca liquidità presente), l'ha pompato, ha preso in prestito tutto quello che poteva (Solana, USDC, etc) e poi ha dumpato Mango. Così facendo ha tenuto per sè tutti i token presi in prestito e su Mango è rimasto il loro token (illiquido) che non valeva più nulla.
Nessun commento:
Posta un commento