Enso expone “pools tóxicos” que falsifican cotizaciones DeFi en Ethereum y Polygon

ETH-4,09%
CRV-2,42%
UNI-3,92%

La firma de infraestructura DeFi Enso publicó un informe el 16 de julio en el que expone una clase de pools de liquidez maliciosos que falsean sistemáticamente las cotizaciones de precio a los traders de criptomonedas. Los pools, que Enso denomina “pools tóxicos”, devuelven cotizaciones atractivas durante simulaciones de transacciones, pero alteran su comportamiento durante la ejecución real, haciendo que los traders reciban peores precios o transacciones fallidas. Un pool de Curve manipulado provocó más de 37.000 operaciones revertidas, lo que obligó a los usuarios a quemar casi $30.000 en comisiones de gas. El exploit se dirige a sistemas de enrutamiento basados en simulaciones que usan las billeteras y los agregadores de exchanges descentralizados para encontrar las rutas de trading óptimas. La investigación de Enso abarcó dos meses de análisis forense on-chain en las redes Ethereum y Polygon, identificando pools tóxicos activos y llevando a la empresa a actualizar su producto de seguridad Enso Shield con capacidades de detección dedicadas.

Desfase entre simulación y ejecución del exploit de los pools tóxicos

Los pools maliciosos explotan las simulaciones “dry-run” off-chain que usan las billeteras para previsualizar operaciones, según el informe de Enso. Los contratos detectan cuando se están ejecutando en un entorno de simulación de solo lectura y devuelven un precio artificialmente optimizado. Una vez que la transacción se transmite on-chain, el pool altera su lógica matemática para ejecutar la operación con una tasa degradada.

Milos Costantini, cofundador y director de producto en Enso, afirmó: “Nuestra investigación nos lleva a creer que esto no es simplemente otro exploit de contrato inteligente aislado. La industria ha pasado años optimizando el descubrimiento de precios. Nuestros hallazgos sugieren que el siguiente desafío es verificar la integridad de la ejecución”.

Para permanecer ocultos frente a los sistemas de seguridad, estos pools alternan entre estados honestos y maliciosos, volviendo ineficaces los escáneres estáticos de código y los filtros de reputación históricos. En Polygon, un “hook” malicioso —un complemento de contrato inteligente usado en plataformas como Uniswap v4— atrajo a los sistemas de enrutamiento con tarifas falsas antes de activar una tasa de fallo del 99,1% en las transacciones.

Enso documenta $225.000 en cotizaciones sobrevaloradas en Ethereum

La investigación de Enso, que combinó datos históricos de nodos de archivo, análisis de trazas de transacciones e inspecciones de contratos inteligentes, identificó pools tóxicos activos que operaban en Ethereum y Polygon. El equipo trabajó con contactos en Curve Finance y Oku durante la investigación.

En un caso de estudio documentado en Ethereum, un pool de Curve manipulado procesó más de 129.000 swaps. Aunque el pool parecía ser la ruta óptima, entregó una ejecución peor que la cotizada, lo que derivó en aproximadamente $225.000 en cotizaciones sobrevaloradas.

El equipo de Enso identificó múltiples contratos de oráculo de blockchain desplegados por el mismo operador para respaldar pools adicionales. Los hallazgos plantean desafíos para billeteras, interfaces orientadas al consumidor y agregadores que dependen de simulaciones automatizadas para garantizar rutas de trading óptimas.

Enso actualiza su producto Shield con capacidades de detección

Enso anunció que actualizó su producto de protección de ejecución, Enso Shield, para incluir detección dedicada de pools tóxicos. La herramienta de seguridad está diseñada para eludir los métodos estándar de simulación analizando el contexto on-chain en vivo, monitoreando el historial de cotizaciones y usando trazas de transacciones para detectar discrepancias en la ejecución.

Costantini afirmó: “Si las simulaciones de transacciones pueden manipularse mientras la ejecución real cuenta una historia diferente, necesitamos mejores formas de verificar qué reciben realmente los usuarios”.

Enso pidió a la industria más amplia de criptomonedas que realice más investigaciones sobre la manipulación de simulaciones de transacciones. El informe de la empresa destaca posibles riesgos de responsabilidad legal y financiera para los proveedores de billeteras y los operadores de interfaces que prometen “mejor ejecución” pero que rutinariamente entregan rutas tóxicas.

FAQ

¿Qué son pools tóxicos en DeFi?
Los pools tóxicos son pools de liquidez maliciosos que devuelven cotizaciones de precio atractivas durante simulaciones de transacciones, pero alteran su comportamiento durante la ejecución real, haciendo que los traders reciban peores precios o transacciones fallidas.

¿Cuánto perdieron los usuarios con el exploit del pool de Curve?
Un pool de Curve manipulado provocó más de 37.000 operaciones revertidas, obligando a los usuarios a quemar casi $30.000 en comisiones de gas. Otro pool de Curve entregó aproximadamente $225.000 en cotizaciones sobrevaloradas en más de 129.000 swaps.

¿Qué hizo Enso en respuesta a los pools tóxicos?
Enso actualizó su producto Enso Shield el 16 de julio para incluir capacidades dedicadas de detección de pools tóxicos que analizan el contexto on-chain en vivo y las trazas de transacciones para detectar discrepancias en la ejecución.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios