Rạng sáng 14/10, một pool tài sản của Morpho đã bị bòn rút sau khi đối tượng tấn công phát hiện ra lỗi trong cấu hình oracle.
Pool tài sản trên Morpho bị bòn rút do những vấn đề liên quan đến oracle
Thị trường cho vay bị bòn rút tài sản trên Morpho là cặp PAXG/USDC. Ước tính 230.000 USD giá trị tài sản đã bị thất thoát vì một lỗi trong cấu hình oracle.
1/ $230K @MorphoLabs PAXG/USDC Market Oracle Exploit Breakdown
The Morpho PAXG/USDC market (tokenized gold via @Paxos) was exploited, leading to a $230K loss.
The root cause? A misconfigured oracle pricing gold at $2.6 trillion USD. pic.twitter.com/lVo1MCAIyg
— omer (@omeragoldberg) October 13, 2024
[wpcc-script async=”” src=”https://platform.twitter.com/widgets.js” charset=”utf-8″ type=”text/javascript”]
Morpho là dự án lending cho phép người dùng có thể chủ động tạo các pool cho vay một cách phi tập trung và thị trường bị bòn rút nói trên cũng nằm trong cách tiếp cận này. Người deploy thị trường trên không rõ các chi tiết về cách tính toán và cấu hình oracle của Morpho, dẫn đến việc sai lệch trong định giá PAXG.
4/ What Was Wrong With the Oracle?
The Oracle SCALE_FACTOR was misconfigured, failing to account for the differences between decimals in USDC (6 decimals) and PAXG (18 decimals).
This led to a 12-decimal inflation in price, overpricing gold by a factor of 10^12. pic.twitter.com/PllSQnPh6G
— omer (@omeragoldberg) October 13, 2024
[wpcc-script async=”” src=”https://platform.twitter.com/widgets.js” charset=”utf-8″ type=”text/javascript”]
Với việc PAXG được định giá trội hẳn so với giá trị thực, đối tượng tấn công đã nạp 350 USD giá trị token này và rút 250.000 USD giá trị tài sản khỏi pool.
Một vài ý kiến cho rằng, việc sai lệch tỷ giá này không sớm được phát hiện khi deploy pool vì lý do giao thức tập trung nhiều vào tỷ giá tham chiếu, thay vì dữ liệu giá thực sau khi thực hiện các tính toán (post-calculation).
Cộng đồng DeFi cũng đang theo dõi một chi tiết liên quan đến LeadBlock, đơn vị được cho là đứng sau khởi tạo và vận hành pool lending này.
LeadBlock curator on the busted morpho market repaid their loan and exited their liquidity leaving this one poor soul to take all the bad debt
maybe LeadBlock figured with 5 million and a bunch of EUL tokens this whale could afford it pic.twitter.com/hoOQKJ3Sem
— Togbe (@Togbe0x) October 13, 2024
[wpcc-script async=”” src=”https://platform.twitter.com/widgets.js” charset=”utf-8″ type=”text/javascript”]
Những hoạt động on-chain cho thấy đơn vị này đã nhanh chóng rút thanh khoản trong pool nói trên và để lại một lượng nợ xấu tồn đọng.
Vào chiều 14/10, Morpho đã có những thông báo giải thích về vụ việc nói trên.
The Morpho protocol provides permissionless infrastructure that enables an open market for risk curation. While errors at the risk curation layer may occasionally occur, the underlying protocol remains secure and resilient. That said, we will continue to equip curators with… https://t.co/YJO45IwmFm
— Morpho Labs 🦋 (@MorphoLabs) October 14, 2024
[wpcc-script async=”” src=”https://platform.twitter.com/widgets.js” charset=”utf-8″ type=”text/javascript”]
Cụ thể, Morpho cho biết lớp giao thức ở dưới vẫn an toàn và vận hành ổn định. Lớp Risk Curator gặp trục trặc là một trong những tính năng cho phép tạo pool của Morpho và đơn vị khởi tạo đã có những động thái thu hồi tài sản. Song song đó, đơn vị khởi tạo này cũng đang có những kế hoạch để hoàn trả đầy đủ tài sản cho những người bị ảnh hưởng.
Coin68 Capital tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat cùng các admin Coin68 Capital nhé!!!