Oggi il mercato dell'oro tokenizzato Paxos (PAXG) sul protocollo DeFi Morpho Protocol ha subito un exploit, che ha comportato una perdita di 230.000 dollari. Secondo il fondatore di Chaos Labs, Omer Goldberg, l'incidente è stato causato da un errore durante l'impostazione dei prezzi Oracle per 2,6 trilioni di dollari.
In un'autopsia dell'incidente condivisa su X, Omer ha spiegato che un'errata configurazione di Oracle è probabile perché il distributore del mercato PAXG/USDC non ha compreso appieno il sistema decimale della piattaforma. Il protocollo Morpho consente agli utenti di creare mercati di prestito decentralizzati e di impostare i parametri.
Omer ha spiegato:
"Oracle SCALE_FACTOR era configurato in modo errato, non tenendo conto delle differenze tra i decimali in USDC (6 decimali) e PAXG (18 decimali). Ciò ha portato a un’inflazione di 12 decimali nel prezzo, sopravvalutando l’oro di un fattore 10^12”.
Lo sfruttatore si è accorto dell'errore in tempo, quindi ha immediatamente inviato sul mercato PAXG per un valore di 350 dollari, utilizzandolo per prelevare 230.000 dollari in USDC.
Anche se l'incidente sembra essere stato causato da un errore da parte dell'utente, Omer ha osservato che il protocollo non ha segnalato il problema e l'interfaccia utente del protocollo Morpho ha mostrato il prezzo dell'oro corretto.
A suo avviso ciò è probabilmente dovuto al fatto che il monitoraggio della sicurezza si è concentrato sui prezzi di riferimento anziché sul prezzo Oracle.
Il protocollo Morpho afferma che la piattaforma rimane sicura
Nel frattempo, Omer ha osservato che l’incidente evidenzia alcuni dei rischi derivanti dall’utilizzo di piattaforme decentralizzate come il protocollo Morpho, poiché è necessaria precisione nella creazione di tali mercati di prestito, in particolare per i parametri che guidano oracoli e rischi.
Ha anche chiesto un monitoraggio in tempo reale, dicendo:
"Il monitoraggio del rischio in tempo reale, in questo caso, una deviazione tra il prezzo di mercato del Morpho e un prezzo di riferimento esterno, è essenziale per prevenire incidenti come questo."
Tuttavia, lo sviluppatore del protocollo Morpho Labs ha risposto sottolineando che l'incidente non era dovuto ad alcun problema di sicurezza sulla sua piattaforma. Piuttosto, è successo perché il curatore del rischio ha commesso degli errori.
La squadra ha detto:
"Crediamo che sia importante distinguere tra le vulnerabilità sottostanti degli smart contract e gli errori a livello di gestione del rischio, proprio come il modo in cui le coppie configurate in modo errato su Uniswap non sono considerate exploit del protocollo stesso."
Ha inoltre descritto l’incidente come un problema isolato che non ha avuto alcun impatto sul protocollo, sottolineando che anche il curatore del rischio ha recuperato parte dei fondi e sta lavorando per ripagare i finanziatori. Lo sviluppatore ha aggiunto che fornirà più strumenti per aiutare i curatori a limitare tali errori in futuro.
Nonostante i chiarimenti, alcuni utenti credono ancora che il fornitore Oracle utilizzato sia responsabile e hanno invitato Morpho Labs ad affidarsi esclusivamente a Chainlink per tutti i suoi feed di prezzo. Tuttavia, il team ha affermato che il suo protocollo è indipendente dagli oracoli, con ciascun curatore del rischio libero di scegliere gli oracoli e il feed privato che desidera.
Nel frattempo, Marius , co-fondatore di Kamino Finance, ha notato che il curatore del rischio in questo caso non era un curatore del rischio a tempo pieno, il che è probabilmente ciò che ha portato all’errore. Ha inoltre confermato che la maggior parte dei fondi sono stati recuperati e che la questione è sotto controllo.
Un investitore in criptovalute afferma che l'incidente non è un exploit
Sebbene le discussioni sull'incidente si siano concentrate sul suo impatto, Felipe Montealegre , co-fondatore della società di investimenti in criptovalute Theia Capital, ritiene che non si tratti di un problema significativo. Secondo lui, le perdite dei fornitori di capitale sono una parte intrinseca del sistema di prestito, poiché anche le istituzioni finanziarie tradizionali perdono denaro sui prestiti.
Ha detto:
“Anche il debito societario con rating B di Moody's ha un tasso di default a tre anni del 17%. Non è possibile avere una piattaforma di prestito interessante in cui i fornitori di capitale non perdono denaro occasionalmente.
Tuttavia, ha ammesso che, sebbene i curatori del rischio possano assumersi rischi e perdere fondi, i protocolli DeFi sottostanti funzionano correttamente e come pubblicizzato. Ha osservato che questo è esattamente ciò che è accaduto al protocollo Morpho, poiché il problema è stato causato da un errore del gestore del fondo e non aveva nulla a che fare con il protocollo. Pertanto, ha osservato che non si trattava di un exploit DeFi nel vero senso della parola.