WOOFi, una piattaforma finanziaria decentralizzata, il 5 marzo ha subito un exploit che ha preso di mira la sua funzionalità di swap sulla rete Arbitrum. L'evento ha comportato una perdita di circa 8,75 milioni di dollari in criptovalute.
La piattaforma ha affermato di aver avviato gli sforzi per recuperare questi fondi e di aver offerto una ricompensa del 10% allo sfruttatore. Inoltre, è stata assegnata una taglia all'Arkham Intelligence per chiunque fornisca ulteriori informazioni.
L'exploit di WOOFi
Secondo il rapporto post mortem, l'algoritmo sPMM che regola i prezzi sugli swap WOOFi è stato sfruttato su Arbitrum. L’attacco prevedeva una serie di prestiti lampo che sfruttavano la scarsa liquidità per manipolare il prezzo di WOO, consentendo allo sfruttatore di rimborsare i prestiti a un costo ridotto.
Lo sfruttatore ha preso in prestito circa 7,7 milioni di WOO e altri asset, vendendo i token su WOOFi. Questa azione ha fatto sì che sPMM di WOOFi adeguasse erroneamente WOO a un prezzo estremamente basso, consentendo allo sfruttatore di scambiare 10 milioni di WOO nella stessa transazione quasi senza costi.
Lo sfruttatore ha ripetuto l'attacco tre volte in un breve periodo, ottenendo profitti per circa 8,75 milioni di dollari dopo aver rimborsato i prestiti flash.
WOOFi ha rivelato che l'sPMM nella sua seconda versione è progettato per sostituire i prezzi oracolo considerando i valori nozionali commerciali degli utenti per regolare lo slittamento e sostenere l'equilibrio del pool.
Tuttavia, un problema tecnico ha portato a un'ampia deviazione dall'intervallo previsto ($ 0,00000009) e il controllo di fallback, generalmente eseguito contro Chainlink, non includeva il prezzo del token WOO.
La strategia di quotazione conservativa paga
WOOFi ha anche affermato che il suo sPMM non ha avuto incidenti sin dalla sua introduzione nel 2021, principalmente a causa dell’“approccio conservativo” alla quotazione di nuovi asset. Il rigoroso processo di quotazione della piattaforma ha reso quasi impossibile l'avvio di un exploit con asset importanti come ETH.
Tuttavia, ha attribuito la colpa alla recente introduzione di un mercato di prestito per WOO su Arbitrum, insieme a un supporto di liquidità relativamente limitato per i token WOO altrove sulla rete, che ha reso l'exploit economicamente sostenibile.
Sebbene WOOFi Swap sia operativo su più di dieci reti, niente meno che Arbitrum presentava sia il token WOO che un mercato di prestito WOO, ostacolando di fatto la replica dello stesso exploit su reti alternative.
Nel frattempo, un recente rapporto di CertiK afferma che il settore delle criptovalute ha subito perdite per circa 160 milioni di dollari a febbraio a causa di exploit, hack e truffe. Questi numeri riflettono un leggero calo rispetto a gennaio, nonostante un aumento dei prezzi. Tra queste perdite, i prestiti flash ammontavano solo a 138.000 dollari.
Il post WOOFi segnala una perdita di 8,75 milioni di dollari e offre una ricompensa del 10% in cambio è apparso per la prima volta su CryptoPotato .