Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 153Flash-Loan-Angriff

Zunami Protocol Curve-Preismanipulation

2,1 Mio. $ aus Zunami Protocol abgezogen: zETH- und UZD-Preise aus manipulierbaren Curve-Pools wurden von einem Flash-Loan-Angreifer aufgebläht.

Datum
Opfer
Zunami Protocol
Chain(s)
Ethereum
Status
Mittel entwendet

Am 13. August 2023 verlor Zunami Protocol rund 2,1 Millionen Dollar, als ein Angreifer die Curve-Pool-abgeleiteten Preise für seine zETH- und UZD-Stablecoins manipulierte. Ein Flash Loan blähte die Pool-Preise auf, der Angreifer mintete/extrahierte zur manipulierten Rate, und beide Tokens depegten zu 90 %+.

Was geschah

Zunamis UZD (ein USD-pegged Stablecoin) und zETH leiteten ihre Preise aus Curve-Liquiditätspools ab — Pools, deren Spot-Preis ein ausreichend kapitalisierter Akteur in einer einzigen Transaktion bewegen kann und die ein Flash Loan kostenlos finanziert.

Der Angriff folgte dem kanonischen Flash-Loan-Orakel-Muster:

  1. Flash-borgte Kapital.
  2. Verzerrte die relevanten Curve-Pools (zETH- und UZD-Paare) und drückte die Preis-Reads des Protokolls weit weg vom wahren Wert.
  3. Mintete / extrahierte gegen die manipulierten Preise — und erwarb weit mehr Wert, als die echte Sicherheit rechtfertigte.
  4. Kehrte die Manipulation um, zahlte den Flash Loan zurück und verschwand mit ~2,1 Mio. $.
  5. Sowohl UZD als auch zETH depegten zu 90 %+, als die ungedeckte Supply und die gebrochenen Preisannahmen den Markt trafen.

Nachwirkungen

  • Zunami pausierte die betroffenen Verträge und warnte Nutzer, dass die Stablecoins ihre Pegs nicht halten könnten.
  • Das Standing des Protokolls wurde durch den Depeg effektiv zerstört.
  • Mittel wurden über Tornado Cash gewaschen.

Warum es zählt

Zunami ist noch ein weiterer Eintrag in der Stablecoin-bepreist-aus-einem-manipulierbaren-Curve-Pool-Linie — strukturell identisch mit dem Yearn yDAI (2021), BonqDAO (2023) und Dutzenden anderen Vorfällen, in denen der Preis-Feed des Protokolls ein Pool war, den der Angreifer bewegen konnte.

Die Wiederholung ist der ganze Punkt der Katalogisierung dieser kleinen Vorfälle. Einzeln ist Zunamis 2,1 Mio. $ unbemerkenswert. Kollektiv erscheint das Muster — „DeFi-Protokoll bepreist einen kritischen Vermögenswert aus einer Curve/AMM-Pool-Spot-Rate; Flash-Loan-Angreifer bewegt den Pool; Protokoll geleert; Stablecoin depegt" — so viele Male im Katalog, über so viele Jahre und Chains hinweg, dass es den einzelnen am häufigsten wiederholten Fehlermodus in der DeFi-Geschichte ausmacht.

Die defensive Antwort wurde dokumentiert und ist seit den bZx-Flash-Loan-Angriffen vom Februar 2020 frei verfügbar: leite niemals einen kritischen Preis aus der instantanen Spot-Rate eines Pools ab; verwende zeitgewichtete Orakel, externe Feeds, Multi-Source-Mediane und Deviation-Guards. Zunami im August 2023 — dreieinhalb Jahre nach bZx — lieferte trotzdem einen Stablecoin aus, der aus manipulierbaren Curve-Pools bepreist wurde. Die leise These des Katalogs ist genau das: das Wissen existiert, ist frei und wird wiederholt nicht angewendet, und die kumulativen Kosten dieser Lücke werden in Milliarden gemessen.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-zunami-protocol-hack-august-2023
  2. [02]decrypt.cohttps://decrypt.co/152366/zunami-protocol-curve-finance-hack
  3. [03]cryptopotato.comhttps://cryptopotato.com/zunami-protocol-exploited-for-over-2-million-native-stablecoin-uzd-plunges-99/

Verwandte Einträge