A Enso expõe “piscinas tóxicas” por falsificar citações de DeFi na Ethereum e na Polygon

ETH-2,76%
CRV-0,51%
UNI-3,51%

A empresa de infra-estruturas DeFi Enso publicou um relatório a 16 de julho, revelando uma classe de pools de liquidez maliciosas que falsificam sistematicamente cotações de preço para traders de criptomoedas. As pools, que a Enso designa por “toxic pools”, devolvem cotações atraentes durante simulações de transações, mas alteram o seu comportamento na execução real, fazendo com que os traders obtenham preços piores ou vejam transações falhadas. Uma pool Curve manipulada despoletou mais de 37.000 negociações revertidas, obrigando os utilizadores a queimar quase $30.000 em taxas de gas. O exploit tem como alvo os sistemas de routing baseados em simulações que carteiras e agregadores de bolsas descentralizadas usam para encontrar os melhores percursos de negociação. A investigação da Enso abrangeu dois meses de análise forense on-chain, em Ethereum e Polygon, identificando pools tóxicas ativas e levando a empresa a atualizar o seu produto de segurança Enso Shield com capacidades dedicadas de deteção.

Discrepância entre Simulação e Execução no Exploit das Toxic Pools

As pools maliciosas exploram as simulações off-chain de “dry-run” que as carteiras usam para pré-visualizar negociações, segundo o relatório da Enso. Os contratos detetam quando estão a ser executados num ambiente de simulação apenas de leitura e devolvem um preço artificialmente otimizado. Assim que a transação é transmitida na rede (on-chain), a pool altera a sua lógica matemática para executar a negociação a uma taxa degradada.

Milos Costantini, cofundador e diretor de produto da Enso, afirmou: “A nossa investigação leva-nos a acreditar que isto não é apenas mais um exploit isolado de contrato inteligente. A indústria passou anos a otimizar a descoberta de preços. Os nossos resultados sugerem que o próximo desafio é verificar a integridade da execução.”

Para se manterem ocultas dos sistemas de segurança, estas pools alternam entre estados honestos e maliciosos, tornando ineficazes os scanners de código estáticos e os filtros de reputação histórica. No Polygon, um “hook” malicioso — um plugin de contrato inteligente usado em plataformas como Uniswap v4 — atraiu os sistemas de routing com taxas falsas antes de desencadear uma taxa de falha de 99,1% nas transações.

Enso Documents $225,000 in Overstated Quotes on Ethereum

A investigação da Enso, que combinou dados históricos de archive-nodes, análise de traces de transações e inspeções de contratos inteligentes, identificou pools tóxicas ativas a operar em Ethereum e Polygon. A equipa trabalhou com contactos da Curve Finance e da Oku durante a investigação.

Num caso de estudo documentado em Ethereum, uma pool Curve manipulada processou mais de 129.000 swaps. Embora a pool aparentasse ser o percurso ótimo, entregou uma execução pior do que a que foi cotada, conduzindo a cerca de $225.000 em cotações sobreavaliadas.

A equipa da Enso identificou vários contratos de oráculo da blockchain implementados pelo mesmo operador para suportar pools adicionais. Os resultados colocam desafios para carteiras, interfaces orientadas ao consumidor e agregadores que dependem de simulações automatizadas para garantir percursos ótimos de negociação.

Enso Atualiza o Produto Shield com Capacidades de Deteção

A Enso anunciou que atualizou o seu produto de proteção de execução, Enso Shield, para incluir deteção dedicada de toxic pools. A ferramenta de segurança foi concebida para contornar métodos de simulação padrão, analisando o contexto on-chain em tempo real, monitorizando o histórico de cotações e usando traces de transações para detetar discrepâncias de execução.

Costantini afirmou: “Se as simulações de transações puderem ser manipuladas enquanto a execução real conta uma história diferente, precisamos de formas melhores de verificar o que os utilizadores recebem efetivamente.”

A Enso apelou à indústria mais alargada de criptomoedas para realizar mais investigação sobre a manipulação de simulações de transações. O relatório da empresa destaca riscos potenciais de responsabilidade legal e financeira para fornecedores de carteiras e operadores de interfaces que prometem ‘melhor execução’ mas entregam rotas tóxicas de forma rotineira.

FAQ

O que são toxic pools em DeFi?
Toxic pools são pools de liquidez maliciosas que devolvem cotações de preço atraentes durante simulações de transações, mas alteram o seu comportamento durante a execução real, fazendo com que os traders recebam preços piores ou transações falhadas.

Quanto perderam os utilizadores com o exploit da Curve pool?
Uma pool Curve manipulada despoletou mais de 37.000 negociações revertidas, obrigando os utilizadores a queimar quase $30.000 em taxas de gas. Outra pool Curve entregou aproximadamente $225.000 em cotações sobreavaliadas em mais de 129.000 swaps.

O que fez a Enso em resposta às toxic pools?
A Enso atualizou o seu produto Enso Shield a 16 de julho para incluir capacidades dedicadas de deteção de toxic pools, que analisam o contexto on-chain em tempo real e os traces de transações para detetar discrepâncias de execução.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário