Enso Mengungkap 'Kolam Beracun' yang Memalsukan Kutipan DeFi di Ethereum dan Polygon

ETH-3,19%
CRV-1,91%
UNI-3,56%

Perusahaan infrastruktur DeFi Enso menerbitkan sebuah laporan pada 16 Juli yang mengungkap kelas kolam likuiditas berbahaya yang secara sistematis memalsukan kuotasi harga kepada trader mata uang kripto. Kolam-kolam tersebut, yang disebut Enso sebagai 'toxic pools', mengembalikan kuotasi yang terlihat menarik selama simulasi transaksi, tetapi mengubah perilakunya saat eksekusi sebenarnya, sehingga menyebabkan trader menerima harga yang lebih buruk atau transaksi gagal. Satu kolam Curve yang dimanipulasi memicu lebih dari 37.000 perdagangan yang direvert, memaksa pengguna membakar hampir $30.000 untuk biaya gas. Eksploitasi ini menargetkan sistem routing berbasis simulasi yang digunakan dompet dan agregator pertukaran terdesentralisasi untuk menemukan jalur perdagangan optimal. Investigasi Enso berlangsung selama dua bulan analisis forensik on-chain di blockchain Ethereum dan Polygon, mengidentifikasi kolam toxic yang aktif serta mendorong perusahaan untuk memperbarui produk keamanan Enso Shield dengan kemampuan deteksi khusus.

Eksploitasi Toxic Pools: Kesenjangan Simulasi vs Eksekusi

Kolam-kolam berbahaya tersebut mengeksploitasi simulasi 'dry-run' off-chain yang digunakan dompet untuk meninjau perdagangan, menurut laporan Enso. Kontrak-kontrak tersebut mendeteksi saat mereka berjalan di lingkungan simulasi read-only dan mengembalikan harga yang dioptimalkan secara artifisial. Setelah transaksi disiarkan ke jaringan pada on-chain, kolam mengubah logika matematisnya untuk mengeksekusi perdagangan dengan laju yang terdegradasi.

Milos Costantini, co-founder dan chief product officer di Enso, menyatakan: "Investigasi kami mengarah pada keyakinan bahwa ini bukan sekadar eksploit smart contract lain yang terisolasi. Industri telah menghabiskan bertahun-tahun mengoptimalkan penemuan harga. Temuan kami menunjukkan tantangan berikutnya adalah memverifikasi integritas eksekusi."

Agar tetap tersembunyi dari sistem keamanan, kolam-kolam ini bergantian antara status yang jujur dan berbahaya, sehingga pemindai kode statis dan filter reputasi historis menjadi tidak efektif. Di Polygon, sebuah 'hook' berbahaya—plugin smart contract yang digunakan di platform seperti Uniswap v4—menggiring sistem routing dengan rate palsu sebelum memicu tingkat kegagalan transaksi sebesar 99,1%.

Enso Mendokumentasikan $225.000 Kuotasi yang Dibesar-besarkan di Ethereum

Penelitian Enso, yang menggabungkan data arsip-node historis, analisis jejak transaksi, dan inspeksi smart contract, mengidentifikasi kolam toxic aktif yang beroperasi di Ethereum dan Polygon. Tim bekerja sama dengan kontak di Curve Finance dan Oku selama investigasi.

Dalam satu studi kasus yang didokumentasikan di Ethereum, sebuah kolam Curve yang dimanipulasi memproses lebih dari 129.000 swap. Meski kolam tersebut tampak sebagai rute yang paling optimal, ia memberikan eksekusi yang lebih buruk daripada yang dikutip, yang menyebabkan sekitar $225.000 kuotasi yang dibesar-besarkan.

Tim Enso mengidentifikasi beberapa kontrak oracle blockchain yang dikerahkan oleh operator yang sama untuk mendukung kolam-kolam tambahan. Temuan ini menghadirkan tantangan bagi dompet, antarmuka yang ditujukan untuk konsumen, dan agregator yang bergantung pada simulasi otomatis untuk menjamin jalur perdagangan optimal.

Enso Memperbarui Produk Shield dengan Kemampuan Deteksi

Enso mengumumkan bahwa mereka memperbarui produk perlindungan eksekusinya, Enso Shield, untuk menyertakan deteksi toxic-pool khusus. Alat keamanan ini dirancang untuk melewati metode simulasi standar dengan menganalisis konteks on-chain secara langsung, memantau riwayat kuotasi, serta menggunakan jejak transaksi untuk mendeteksi kesenjangan eksekusi.

Costantini menyatakan: "Jika simulasi transaksi bisa dimanipulasi sementara eksekusi nyata menceritakan kisah yang berbeda, kita perlu cara yang lebih baik untuk memverifikasi apa yang benar-benar diterima pengguna."

Enso mengajak industri mata uang kripto yang lebih luas untuk melakukan penelitian lanjutan terkait manipulasi simulasi transaksi. Laporan perusahaan menyoroti potensi risiko liabilitas hukum dan finansial bagi penyedia dompet serta operator antarmuka yang menjanjikan 'best execution' tetapi secara rutin mengirimkan rute-rute toxic.

FAQ

Apa itu toxic pools di DeFi?
Toxic pools adalah kolam likuiditas berbahaya yang mengembalikan kuotasi harga yang menarik selama simulasi transaksi, tetapi mengubah perilakunya saat eksekusi sebenarnya, sehingga menyebabkan trader menerima harga yang lebih buruk atau transaksi gagal.

Berapa banyak yang hilang oleh pengguna akibat eksploitasi kolam Curve?
Satu kolam Curve yang dimanipulasi memicu lebih dari 37.000 perdagangan yang direvert, memaksa pengguna membakar hampir $30.000 untuk biaya gas. Kolam Curve lainnya memberikan sekitar $225.000 dalam kuotasi yang dibesar-besarkan di lebih dari 129.000 swap.

Apa yang dilakukan Enso sebagai respons terhadap toxic pools?
Enso memperbarui produk Enso Shield pada 16 Juli untuk menyertakan kemampuan deteksi toxic-pool khusus yang menganalisis konteks on-chain secara langsung dan jejak transaksi untuk mendeteksi kesenjangan eksekusi.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar