A exchange descentralizada (DEX) Lifinity teve seu pool LFNTY-USDC drenado por um bot de arbitragem em 8 de dezembro. De acordo com o canal Discord da Lifinity, uma resposta inesperada a uma negociação malsucedida causou a perda de US$ 699.090.
Um membro central da Lifinity, conhecido como Durden, explicou que um bot tentou uma negociação de arbitragem seguindo a rota USDC > xLFNTY > LFNTY > USDC, tentando lucrar com as discrepâncias de preço entre diferentes pares de negociação.
Veja como os eventos transcorreram no Discord da @Lifinity_io quando a arbitragem de 700k aconteceu
— Shardo (@DrashoWho) 8 de dezembro de 2023
Eu notei algo errado com o preço do LFNTY e alertei zoro, um dos desenvolvedores da plataforma.
À primeira vista, parecia que o protocolo tinha sido hackeado pic.twitter.com/ebXfK9pDW3
O bot iniciou uma ordem de mercado Imediata ou Cancelar (IOC) na Serum v3, um tipo de ordem que deve ser executada imediatamente ao preço de mercado atual, se preenchida. Ordens que não podem ser preenchidas imediatamente são canceladas.
"Mas em vez de retornar um erro, como a maioria dos programas faz, ele retornou 0 quantidade de saída. Nossos pools processaram a quantidade de 0 de entrada e também retornaram 0 quantidade de saída", observou Durden, antes de explicar que isso levou o programa a atualizar o último preço de transação para 0, fazendo com que o próximo preço inicial também fosse 0. "Como é uma curva CP, o preço real não será 0, mas o pool ofereceu um preço extremamente baixo, resultando na drenagem logo em seguida."
A Lifinity v1 é uma formadora de mercado automatizado (AMM), o que significa que usa algoritmos para criar liquidez em pares de negociação. De acordo com Durden, ela depende do criador de mercado de produto constante (CPMM), um tipo específico de modelo AMM, para manter um equilíbrio entre duas quantidades de tokens em um pool de liquidez.
Outras exchanges descentralizadas, como Uniswap e Bancor, também usam esse modelo. A Lifinity v1 não suporta uma curva de produto constante (CP) padrão usada em CPMMs tradicionais, mas pode replicar sua função. Uma das soluções usadas para replicá-la foi chamar uma função de "último preço" para o próximo preço inicial. No entanto, como o bug retornou um preço de 0, o bot conseguiu explorar a discrepância e esvaziar os fundos.
O Cointelegraph entrou em contato com a equipe da Lifinity, mas não recebeu uma resposta imediata. No X (ex-Twitter), um membro da comunidade apontou que o incidente não foi resultado de um ataque.
A equipe da Lifinity está aparentemente trabalhando em reintroduzir liquidez ao pool enquanto revisa o código do protocolo e tenta recuperar fundos. Negociações resultando em 0 quantidades não são mais aceitas.
VEJA MAIS: