Arbitrage du jour de lancement de Saddle Finance
Saddle Finance a perdu ~276 K$ dans l'heure suivant son lancement quand un stableswap défaillant a laissé des arbitragistes échanger à des taux mal tarifés.
- Date
- Victime
- Saddle Finance
- Chaîne(s)
- Statut
- Fonds dérobés
Le 20 janvier 2021, Saddle Finance a perdu environ 276 000 dollars dans l'heure suivant son lancement. Une faille dans son implémentation/mathématiques stableswap a permis à un attaquant (et à des arbitragistes copieurs) d'échanger à des taux mal tarifés, drainant la valeur LP dès le premier jour. (Saddle a ensuite subi un exploit metapool d'avril 2022 bien plus grand et distinct.)
Ce qui s'est passé
Le déploiement stableswap initial de Saddle tarifait mal les swaps dans certaines conditions ; dans l'heure suivant le lancement, un attaquant a exploité la mauvaise tarification pour ~276 K$, les bots MEV/arbitrage s'accumulant.
Pourquoi c'est important
La perte du jour de lancement de Saddle est une instance nette de nouveaux protocoles attaqués en quelques minutes après leur lancement (Punk Protocol, Jimbo's, Loopscale). Les acteurs sophistiqués surveillent spécifiquement les nouveaux déploiements ; la fenêtre entre « contrats en service » et « premier exploit » est régulièrement de quelques minutes. Que Saddle ait ensuite été exploité à nouveau, beaucoup plus largement, 15 mois plus tard (avril 2022) le place également dans le groupe multi-incident — le verdict récurrent du catalogue selon lequel un premier incident est un signal, et une remédiation systémique inadéquate invite le second.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-saddle-finance-incident-january-2021
- [02]rekt.newshttps://rekt.news/saddle-finance-rekt