El 12 de mayo de 2021, xToken perdió aproximadamente $24 millones cuando sus tokens de estrategia de liquidez xSNXa y xBNTa fueron explotados mediante manipulación de precios con préstamo flash. Las estrategias ponían precio al mint/redeem desde pools manipulables; el atacante sesgó los pools, acuñó tokens de estrategia barato y los canjeó por los activos subyacentes reales.
Qué ocurrió
La acuñación y redención de xSNXa/xBNTa de xToken se apoyaba en precios on-chain que un atacante podía mover con capital prestado por préstamo flash. El atacante manipuló los pools relevantes de Balancer/Kyber/Uniswap, adquirió tokens de estrategia a una tasa distorsionada y los canjeó por mucho más subyacente del que justamente le correspondía (~$24M). (xToken sufrió un segundo incidente separado en agosto de 2021.)
Por qué importa
xToken es uno de los casos mayores de 2021 de mala valoración de tokens de estrategia con préstamo flash (Harvest, Value DeFi, Cream). Su repetición (mayo y luego agosto de 2021) también lo coloca en el grupo de múltiples incidentes. El hilo conductor nunca cambia: una estrategia tokenizada cuyo precio de mint/redeem se lee desde un lugar manipulable es un grifo de arbitraje para cualquiera con un préstamo flash. Para mayo de 2021 esto ya había sido demostrado repetidamente desde febrero de 2020; xToken es el ecosistema, de nuevo, no leyendo sus propios post-mortems.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-xtoken-hack-may-2021
- [02]rekt.newshttps://rekt.news/xtoken-rekt