Manipulation de mint d'AutoShark Finance

Le 24 mai 2021 — cinq jours après l'exploit de PancakeBunny — le yield farm BSC AutoShark Finance a perdu environ 745 000 dollars dans une attaque quasi identique : un prêt flash a manipulé le prix SHARK/BNB alimentant le calcul de mint de récompenses du protocole, le faisant frapper du SHARK considérablement excessif, que l'attaquant a vendu.

Ce qui s'est passé

AutoShark calculait les récompenses mintées à partir d'un prix SHARK/BNB on-chain que l'attaquant a manipulé avec du capital emprunté en flash — le même mécanisme qui a drainé PancakeBunny la semaine précédente. SHARK s'est effondré sur la vente.

Conséquences

• Protocole effectivement terminé ; aucune récupération.

Pourquoi c'est important

La valeur d'AutoShark pour le catalogue est son timing : c'est une réplique quasi exacte de PancakeBunny cinq jours plus tard, sur la même chaîne, exploitant la même faille de mint-de-récompense-à-partir-d'un-prix-manipulable. C'est la démonstration la plus claire possible de la thèse centrale du catalogue — la leçon était publiée, en détail, quelques jours plus tôt, et le protocole suivant a livré le bug identique quand même. Les phases de croissance pilotées par les forks ne se contentent pas de répéter lentement de vieilles erreurs sur des années ; elles répètent parfois l'erreur de la même semaine en quelques jours, parce que les forks sont trop nombreux et trop rapides pour absorber même le post-mortem le plus récent et le plus visible. La réponse défensive (ne pas tarifer les récompenses depuis un pool spot manipulable) était librement disponible depuis bZx 2020.