Summary
代币化股票交易平台Edel Finance团队表示,由于一名攻击者利用其代币化股票的定价机制,在周二暂停了其借贷协议。攻击者通过借贷以远超实际价值约78倍的抵押品,导致约40.3万美元的坏账产生。
该标的为字母表公司(Alphabet)谷歌股票的代币化版本。Edel Lending 接受了 wGOOGLx —— 即代币化股票 GOOGLx 的包装形式,作为抵押品。
包装代币是某种资产的再包装版本,旨在在特定协议内使用,并且其价值应与基础资产一一对应。攻击者操控了两者之间的兑换率,使得 wGOOGLx 的价值约为其应有价值的 78 倍,随后利用该虚幻的抵押品从协议中借出真实资产。
定价本身并非薄弱环节。Edel 表示其使用了 Chainlink 预言机——这一标准的第三方服务,负责将现实世界价格传输至区块链,并且这些预言机报告的谷歌股价约为 357 美元,数据准确无误。
该漏洞存在于包装机制中。攻击者干扰了 GOOGLx 与 wGOOGLx 之间的转换方式,导致抵押品定价错误,尽管基础价格信息准确无误。
Edel 表示已检测并遏制了该漏洞,随后暂停了其所有第一版本合约,这些合约仍被冻结,并警告用户不要与之交互。
团队补充表示,已追踪到攻击者的交易并正在与交易所协调,同时已向攻击者提出白帽和解方案,即在规定时间内,攻击者归还大部分资金,支付一定费用,且不被追究法律责任的协议。
Edel指出,任何存款人都不会蒙受损失,团队将承担坏账并一比一恢复余额。团队正在部署第二版,采用重新设计的定价方案,旨在阻止此类操纵行为,并承诺随后将提供完整的技术解析。
虽然金额较小,但该手法属于DeFi中最为顽固的攻击类别之一。
操纵协议读取的价格,而非入侵协议,本质上是 第二常见的智能合约漏洞。OWASP 智能合约十大风险 2025 年的漏洞,CertiK 的安全研究人员将预言机价格操纵描述为该领域的 最常见的攻击向量.
除了跨链桥造成的今年最大单笔盗窃事件——包括4月从 Kelp DAO 中被盗的 2.92 亿美元外,价格操纵仍是大量资金流向的领域,而在大多数此类事件中,代码均按预期执行。
通证化股票拓展了这一领域。将谷歌等股票上链的产品是去中心化金融中增长最快的部分之一,它们在资产与其价格之间增加了另一层:将股票转化为抵押品的包装和转换步骤。