Oracle flash-loan Value DeFi
Le coffre MultiStables de Value DeFi a perdu 7 M$ via une manipulation flash-loan du prix du Curve 3pool — cas canonique précoce du pattern.
- Date
- Victime
- Value DeFi
- Chaîne(s)
- Statut
- Partiellement récupéré
Le 14 novembre 2020, le coffre MultiStables de Value DeFi a perdu environ 7 millions de dollars via une manipulation flash-loan du prix du Curve 3pool dont sa stratégie dépendait. L'attaquant a emprunté de gros montants de stablecoins, biaisé le 3pool, fait déposer/retirer le coffre à des taux défavorables, et empoché la différence (retournant ~2 M$ après).
Ce qui s'est passé
Le coffre tarifiait les opérations de stratégie depuis le taux spot manipulable du Curve 3pool. Un flash loan a biaisé le pool ; le coffre a tradé au mauvais taux ; l'attaquant a extrait ~7 M$, remboursé le prêt, et plus tard retourné ~2 M$.
Conséquences
- Value DeFi a mis en pause et remboursé partiellement ; l'attaquant a retourné une portion.
Pourquoi c'est important
Value DeFi (nov. 2020) est l'un des plus anciens exploits canoniques d'oracle de coffre par flash loan, aux côtés de Harvest Finance (oct. 2020) et la paire bZx (févr. 2020). C'est, en effet, un document fondateur du pattern le plus répété de tout ce catalogue. Tout ce qui suit — Cream, Belt, Cetus, des centaines d'autres — est une variation sur ce que Value DeFi a démontré en novembre 2020 : tarifiez un coffre depuis un pool qu'un attaquant peut bouger dans la même transaction, et le coffre est un robinet ouvert. La défense a été articulée immédiatement après ces incidents 2020 et est librement disponible, et régulièrement inutilisée, depuis.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-value-defi-hack-november-2020
- [02]rekt.newshttps://rekt.news/value-defi-rekt