Den senaste attacken på @CurveFinance (med förlust) och @InverseFinance (ingen förlust) är en prismanipulationsattack. Grundorsaken: Curve Lends likvidationsmekanism är oförenlig med atomärt föränderliga orakel. Attackprocess: (1) angriparen mjukvisvar alla användares säkerhet. Vilket får dem att "sälja" sin säkerhet till crvUSD. (2) Gärningsmannen donerade till sDOLA-poolen för att driva orakelpriset. (3) Hårdlikvidera alla användare som är mjuklikviderade. Användarnas crvUSD-skulder återbetalas med deras crvUSD-säkerhet och resten går till likvidatorn (angriparen). (4) sätta in den sDOLA-säkerhet som erhållits för att CurveLenda och låna crvUSD (för återbetalning av flashloan). Varför skedde denna attack? För det första har kurvlån "mjuk likvidation" och "hård likvidation" (förutsatt att du redan känner till den grundläggande bakgrunden). Soft-liquidations AMM baseras på oraklet snarare än kurvan. När priset förändras i stort sett atomärt realiseras den förgängliga förlusten omedelbart. Även när det slutliga priset på säkerheten är högre än tidigare blev användaren ändå likviderad (på grund av den obegränsade förlusten, steg 1). Även om andra kanske påpekar att detta är ett problem i sDOLA:s donation, vill jag säga att det i de flesta fall inte är ett problem, det går bara fel i kombination med likvidationen. Dessutom njuter $sDOLA bönder av sin saftiga nattavkastning på 10 %!

@CurveFinance @InverseFinance vill jag tillägga att @InverseFinance inte är offret. @CurveFinance Lend loopers är faktiskt rekt.

@CurveFinance @InverseFinance vill jag tillägga att @InverseFinance inte är offret. @CurveFinance Lend sDOLA-marknadsloopers är faktiskt trasiga.