Polter Finance BOO-Orakel-Drain

Am 17. November 2024 wurde das Fantom-basierte Kreditprotokoll Polter Finance um etwa 8,7 Millionen $ ausgenutzt (der Post-Vorfalls-Polizeibericht des Teams nannte eine höhere Zahl von 12 Mio. $ einschließlich nachgelagerter Effekte). Der Angreifer manipulierte das BOO-Token-Orakel durch einen Flash-Kredit auf SpookySwap-Pools und bewertete ein BOO mit 1,37 Billionen $ zum Zeitpunkt, als Polter den Preis las. Polter stellte den Betrieb nach dem Exploit ein.

Was geschah

Polter Finance war ein Geist-Aave-artiger Kreditmarkt auf Fantom, der BOO (SpookySwaps Governance-Token) als Sicherheit akzeptierte. Das Orakel des Protokolls für BOO verwendete keine vertrauenswürdige externe Quelle; stattdessen las es den Spot-Preis direkt aus SpookySwap-V2/V3-Pools bei jeder Abfrage.

Für die meisten Tokens sind Spot-Orakel-Lesungen gefährlich; für BOO, mit relativ dünner Pool-Liquidität, waren sie katastrophal. Der Angreifer:

1. Flash-borgte 269.042 BOO von SpookySwap V2 und 1.154.788 BOO von SpookySwap V3 — zusammen ~1,4 Mio. BOO.
2. Entfernte diese Tokens aus den SpookySwap-Pools, was die BOO-Reserven, die für den Handel verfügbar waren, drastisch reduzierte.
3. Mit gestürzten BOO-Reserven meldete das SpookySwap-Spot-Preis-Orakel einen wahnsinnig aufgeblähten BOO-Preis — etwa 1,37 Billionen $ pro Token in der extremsten Lesung.
4. Hinterlegte einen einzigen BOO-Token als Sicherheit bei Polter — das Orakel bewertete die Einzahlung zum aufgeblähten Kurs und gewährte dem Angreifer effektive Kraft, Kredite gegen Billionen von Dollar nominaler Sicherheiten aufzunehmen.
5. Lieh sich jeden verfügbaren Vermögenswert den Polter zum Verleih hatte — Stablecoins, ETH, BTC und andere Fantom-Vermögenswerte — insgesamt etwa 8,7 Mio. $.
6. Zahlte die Flash-Kredite zurück (gab die geliehenen BOO an die Pools zurück, stellte Liquidität und den Spot-Preis wieder her) und ging mit den geliehenen Vermögenswerten davon.

Folgen

• Polter Finance pausierte das Protokoll und das Team versuchte On-Chain-Belohnungs-Verhandlungen mit dem Angreifer. Keine Antwort.
• Polter erstattete eine Polizeianzeige mit angegebenen Verlusten von 12 Mio. $, einschließlich Sekundäreffekten auf abhängige Protokolle und Reputationsschaden.
• Das Team kündigte an, dass das Protokoll nicht relauncht wird — der Verlust überschritt Polters Reserven und der Nutzervertrauensschaden war nicht wiederherstellbar.
• Mittel wurden über Cross-Chain-Bridges und Mixer gewaschen.

Warum es wichtig ist

Polter Finance ist einer von vielen Fällen im Muster "Spot-Orakel-Kreditprotokoll auf Chain X mit dünner Liquidität", das wiederholt neunstellige kumulative Verluste in der DeFi-Geschichte produziert hat:

• Cream Finance (Okt 2021) — yUSD-Spot-Pool-Manipulation.
• Inverse Finance (Apr 2022) — INV dünnes Sushiswap-Pool-Orakel.
• Vee Finance (Sept 2021) — einzelnes Pangolin-Orakel auf Avalanche.
• UwULend (Juni 2024) — Curve get_p Spot-Lesungen im sUSDe-Orakel-Median.
• Polter Finance (Nov 2024) — SpookySwap-Spot-Orakel für BOO.

Jeder Vorfall hat dieselbe strukturelle Ursache: Das Kreditprotokoll konsumierte einen Preis von einem Orakel, dessen zugrundeliegende Datenquelle der Angreifer in einer einzigen Transaktion bewegen konnte. Die defensive Antwort — zeitgewichtete Orakel-Mediane aus mehreren Quellen, mit harten Obergrenzen für die zulässige Preisveränderungsrate pro Block — ist gut dokumentiert, aber ungleichmäßig übernommen, insbesondere von Protokollen, die auf kleineren Chains deployen, wo Chainlink und ähnliche Aggregatoren begrenzte Abdeckung haben.

Die tiefere Lektion: Die Sicherheit eines Kreditprotokolls ist die Untergrenze seiner Orakel-Qualität, nicht die Obergrenze seiner Smart-Contract-Qualität. Ein perfekt auditierter Kreditvertrag auf einem manipulierbaren Orakel ist genau so sicher wie das Orakel. Polters 8,7 Mio. $ (oder 12 Mio. $, je nach Buchhaltung) ist der wiederkehrende Preis dafür, diese Hierarchie zu unterschätzen.