Firma Enso, zajmująca się infrastrukturą DeFi, zidentyfikowała nową kategorię złośliwych pul płynności, zwanych „puli toksycznymi”. W odróżnieniu od tradycyjnych ataków, które polegają na bezpośredniej kradzieży środków, pule te manipulują symulacjami transakcji.
Najnowsze zagrożenie dla DeFi: w jaki sposób złośliwe pule płynności podają fałszywe notowania użytkownikom sieci Ethereum i Polygon

Najważniejsze wnioski
- Raport firmy Enso z 16 lipca ujawnił istnienie „toksycznych pul”, które fałszują notowania, powodując straty rzędu dziesiątek tysięcy dolarów w puli Curve.
- Luka ta stanowi zagrożenie dla interfejsów użytkownika DeFi – jeden złośliwy hook w Uniswap v4 powodował 99,1% wskaźnik niepowodzeń.
- Firma Enso zaktualizowała swój produkt Enso Shield, aby wykrywać fałszywe notowania w dwóch różnych środowiskach blockchain.
Taktyka „Jekyll i Hyde”
Według najnowszych badań opublikowanych 16 lipca przez firmę Enso, zajmującą się infrastrukturą DeFi, nowo odkryta klasa złośliwych pul płynności w sektorze zdecentralizowanych finansów (DeFi) atakuje podstawową infrastrukturę, na której polegają inwestorzy kryptowalutowi w poszukiwaniu najlepszych cen.
Firma nazywa te oszukańcze konstrukcje „toksycznymi pulami”. W przeciwieństwie do typowych ataków hakerskich na kryptowaluty, które bezpośrednio wyprowadzają środki ze smart kontraktów, pule te zostały zaprojektowane tak, aby systematycznie oszukiwać symulacje transakcji. Zwracają one atrakcyjne, wysoce konkurencyjne kwotowania cenowe, gdy portfel kryptowalutowy lub agregator zdecentralizowanych giełd (DEX) przeprowadza symulację, ale zmieniają swoje zachowanie w momencie faktycznego wykonania transakcji w łańcuchu bloków.
Skutkiem tego jest subtelny, systemowy odpływ środków: inwestorzy otrzymują znacznie gorsze ceny realizacji niż te, które zostały im podane, lub ich transakcje kończą się niepowodzeniem, co wiąże się z utratą opłat sieciowych.
„Nasze dochodzenie pozwala sądzić, że nie jest to po prostu kolejny odosobniony przypadek wykorzystania luki w kontrakcie inteligentnym” – powiedział Milos Costantini, współzałożyciel i dyrektor ds. produktów w firmie Enso. „Branża spędziła lata na optymalizacji ustalania cen. Nasze ustalenia sugerują, że kolejnym wyzwaniem jest weryfikacja integralności realizacji transakcji”.
Według raportu firmy Enso toksyczne pule wykorzystują pozałańcuchowe symulacje typu „dry-run”, których portfele używają do podglądu transakcji. Złośliwe kontrakty wykrywają, kiedy działają w środowisku symulacyjnym tylko do odczytu, i zwracają sztucznie zoptymalizowaną cenę. Gdy transakcja zostanie faktycznie przesłana do łańcucha bloków, pula zmienia swoją logikę matematyczną, aby zrealizować transakcję po gorszym kursie.
Aby pozostać niewykrywalnymi przez systemy bezpieczeństwa, pule te przełączają się między stanem uczciwym a złośliwym, co sprawia, że skanery kodu statycznego i filtry oparte na historycznej reputacji stają się nieskuteczne. Ta strategia typu „przynęta i zamiana” pogarsza komfort użytkowania i wyczerpuje środki użytkowników poprzez nieudane transakcje. W jednym z przypadków zmanipulowana pula Curve spowodowała cofnięcie ponad 37 000 transakcji, zmuszając użytkowników do utraty prawie 30 000 dolarów na opłatach za gaz.
Atakujący wykorzystują również modułowe architektury giełd nowej generacji. W sieci Polygon złośliwy „hook” — wtyczka do inteligentnych kontraktów stosowana na platformach takich jak Uniswap v4 — zwabiła systemy routingu fałszywymi kursami, a następnie spowodowała 99,1% wskaźnik niepowodzeń transakcji.
Wyniki analizy kryminalistycznej łańcucha bloków
Badanie, które obejmowało około dwóch miesięcy analizy kryminalistycznej łańcucha bloków, łączyło historyczne dane z węzłów archiwalnych, analizę śladów transakcji oraz inspekcje inteligentnych kontraktów. Inżynierowie Enso, przy wsparciu kontaktów w głównych protokołach DeFi – Curve Finance i Oku – zidentyfikowali aktywne toksyczne pule działające zarówno w łańcuchu bloków Ethereum, jak i Polygon.
W jednym z udokumentowanych studiów przypadku dotyczących sieci Ethereum zmanipulowana pula Curve przetworzyła ponad 129 000 transakcji swapowych. Chociaż pula ta wydawała się optymalną trasą, zapewniła gorszą realizację niż podano w kwotowaniu, co doprowadziło do zawyżenia kwotowań o około 225 000 dolarów.
Ponadto zespół Enso zidentyfikował wiele kontraktów typu oracle w łańcuchu bloków, wdrożonych przez tego samego operatora w celu obsługi dodatkowych pul, co wskazuje, że taktyka ta jest prawdopodobnie bardziej rozpowszechniona niż te dwa udokumentowane przypadki i może stanowić pojawiający się szablon dla wyciągania środków w łańcuchu.
Ustalone fakty stanowią bezpośrednie wyzwanie dla warstwy ekosystemu DeFi skierowanej do użytkowników. Popularne portfele, interfejsy dla konsumentów oraz agregatory w dużym stopniu polegają na zautomatyzowanych symulacjach, aby zagwarantować użytkownikowi „najlepszą ścieżkę” transakcji.
Raport Enso podkreśla, że jeśli infrastruktura routingu nie będzie w stanie odróżnić legalnej oferty od zmanipulowanej, interfejsy użytkownika będą nadal kierować użytkowników w stronę tych pułapek. Stwarza to potencjalne ryzyko odpowiedzialności prawnej i finansowej dla dostawców portfeli oraz operatorów interfejsów, którzy obiecują „najlepszą realizację”, ale rutynowo dostarczają toksyczne trasy.
W odpowiedzi na to zagrożenie firma Enso ogłosiła aktualizację swojego produktu chroniącego realizację zleceń, Enso Shield, o funkcję wykrywania toksycznych pul. To narzędzie zabezpieczające zostało zaprojektowane tak, aby ominąć standardowe metody symulacji poprzez analizę kontekstu łańcucha bloków w czasie rzeczywistym, monitorowanie historii notowań oraz wykorzystanie śladów transakcji do wykrywania rozbieżności w realizacji zleceń.
Zamiast obwiniać poszczególne zdecentralizowane giełdy, firma Enso wezwała całą branżę kryptowalutową do przeprowadzenia dalszych badań nad manipulacją symulacjami transakcji.
„Jeśli symulacje transakcji mogą być manipulowane, podczas gdy rzeczywista realizacja pokazuje coś zupełnie innego” – powiedział Costantini – „potrzebujemy lepszych sposobów weryfikacji tego, co faktycznie otrzymują użytkownicy”.
Ten artykuł został przetłumaczony z języka angielskiego przy użyciu sztucznej inteligencji. Oryginalna wersja angielska jest źródłem autorytatywnym; tłumaczenia automatyczne mogą zawierać nieścisłości, zwłaszcza w terminologii prawnej i regulacyjnej.

















