Am 12. Mai 2021 verlor xToken rund 24 Millionen Dollar, als seine xSNXa- und xBNTa-Liquiditäts-Strategie-Tokens via Flash-Loan-Preismanipulation exploitet wurden. Die Strategien bepreisten Mint/Redeem aus manipulierbaren Pools; der Angreifer verzerrte die Pools, mintete Strategie-Tokens billig und löste sie für die echten zugrunde liegenden Vermögenswerte ein.
Was geschah
xTokens xSNXa/xBNTa-Minting und -Einlösung verließ sich auf On-Chain-Preise, die ein Angreifer mit flash-geliehenem Kapital bewegen konnte. Der Angreifer manipulierte die relevanten Balancer/Kyber/Uniswap-Pools, erwarb Strategie-Tokens zu einer verzerrten Rate und löste sie für weit mehr Underlying ein, als fair geschuldet (~24 Mio. $). (xToken erlitt einen zweiten, separaten Vorfall im August 2021.)
Warum es zählt
xToken ist einer der größeren 2021er Flash-Loan-Strategie-Token-Fehlbepreisungs-Fälle (Harvest, Value DeFi, Cream). Seine Wiederholung (Mai dann August 2021) stellt ihn auch in die Multi-Vorfall-Gruppe. Der rote Faden ändert sich nie: Eine tokenisierte Strategie, deren Mint-/Redeem-Preis aus einem manipulierbaren Venue gelesen wird, ist ein Arbitrage-Wasserhahn für jeden mit einem Flash Loan. Bis Mai 2021 war dies seit Februar 2020 bereits wiederholt demonstriert worden; xToken ist das Ökosystem, das wieder einmal seine eigenen Post-Mortems nicht gelesen hat.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-xtoken-hack-may-2021
- [02]rekt.newshttps://rekt.news/xtoken-rekt