Nakilala ng DeFi infrastructure firm na Enso ang isang bagong uri ng masasamang liquidity pool na tinatawag na “toxic pools.” Hindi tulad ng mga tradisyunal na pagsasamantala na direktang nagnanakaw ng pondo, minamanipula ng mga pool na ito ang mga simulation ng transaksyon.
Pinakabagong Banta sa DeFi: Paano Nililinlang ng mga Malisyosong Liquidity Pool ang mga Gumagamit ng Ethereum at Polygon sa Pamamagitan ng Pekeng Pag-quote

Mga Pangunahing Takeaways
- Inilantad ng ulat ng Enso noong Hulyo 16 ang “toxic pools” na nagpapanggap ng mga quote, na nagdulot ng pagkalugi na umaabot sa sampu-sampung libong dolyar sa isang Curve pool.
- Binabantaan ng pagsasamantala ang mga DeFi front-end, kung saan ang isang malicious Uniswap v4 hook ay nagdulot ng 99.1% na failure rate.
- In-update ng Enso ang produkto nitong Enso Shield upang matukoy ang mga pekeng quote sa 2 magkaibang blockchain environment.
Isang Taktikang ‘Jekyll at Hyde’
Isang bagong natuklasang uri ng malisyosong decentralized finance (DeFi) liquidity pools ang tinatarget ang pangunahing imprastraktura na inaasahan ng mga cryptocurrency trader para mahanap ang pinakamagagandang presyo, ayon sa bagong pananaliksik na inilathala noong Hulyo 16 ng DeFi infrastructure firm na Enso.
Tinatawag ng kumpanya ang mga mapanlinlang na setup na ito na “toxic pools.” Hindi tulad ng karaniwang cryptocurrency hacks na direktang nagda-drain ng pondo mula sa mga smart contract, ang mga pool na ito ay idinisenyo upang sistematikong lokohin ang mga simulation ng transaksyon. Nagbabalik sila ng kaakit-akit at lubhang kompetitibong mga price quote kapag ang isang crypto wallet o decentralized exchange (DEX) aggregator ay nagpapatakbo ng simulation, ngunit binabago nila ang kanilang asal sa mismong sandaling ang transaksyon ay aktuwal nang naisakatuparan sa blockchain.

Ang resulta ay isang banayad ngunit sistemikong pagtagas: nakakakuha ang mga trader ng mas masamang execution price kumpara sa na-quote sa kanila, o nabibigo ang kanilang mga transaksyon, na sinusunog ang mga network fee sa proseso.
“Ang aming imbestigasyon ay humahantong sa amin na maniwala na ito ay hindi lamang isa pang hiwalay na smart contract exploit,” sabi ni Milos Costantini, co-founder at chief product officer ng Enso. “Gumugol ang industriya ng maraming taon sa pag-o-optimize ng price discovery. Iminumungkahi ng aming mga natuklasan na ang susunod na hamon ay ang pag-verify ng integridad ng execution.”
Ayon sa ulat ng Enso, sinasamantala ng toxic pools ang off-chain na “dry-run” simulations na ginagamit ng mga wallet upang i-preview ang mga trade. Natutukoy ng mga malisyosong contract kapag tumatakbo sila sa isang read-only na simulation environment at nagbabalik ng artipisyal na na-optimize na presyo. Kapag ang transaksyon ay aktuwal nang na-broadcast on-chain, binabago ng pool ang matematikal na lohika nito upang isagawa ang trade sa mas pinababang rate.
Upang manatiling nakatago mula sa mga security system, nagpapalit-palit ang mga pool na ito sa pagitan ng tapat at malisyosong estado, na ginagawang hindi epektibo ang mga static code scanner at mga historical reputation filter. Ang disenyo nitong pain-at-palitan ay nagpapababa sa karanasan ng gumagamit at nagda-drain ng pondo ng gumagamit sa pamamagitan ng mga nabigong transaksyon. Sa isang case study, ang isang minanipulang Curve pool ay nag-trigger ng mahigit 37,000 na reverted trades, na nagpilit sa mga user na magsunog ng halos $30,000 sa gas fees.
Sinasamantala rin ng mga umaatake ang next-generation, modular na arkitektura ng exchange. Sa Polygon, isang malisyosong “hook” — isang smart contract plugin na ginagamit sa mga platform tulad ng Uniswap v4 — ang umakit sa mga routing system gamit ang pekeng mga rate bago mag-trigger ng 99.1% na transaction failure rate.
Mga Natuklasan Mula sa On-Chain Forensic Analysis
Ang pananaliksik, na umabot ng humigit-kumulang dalawang buwan ng on-chain forensic analysis, ay pinagsama ang historical archive-node data, transaction trace analysis, at mga inspeksyon ng smart contract. Ang mga engineer ng Enso, kasama ang suporta mula sa mga contact sa malalaking DeFi protocol na Curve Finance at Oku, ay nakilala ang mga aktibong toxic pool na tumatakbo sa parehong Ethereum at Polygon blockchains.
Sa isang naitalang case study sa Ethereum, ang isang minanipulang Curve pool ay nagproseso ng mahigit 129,000 swaps. Habang ang pool ay mukhang ito ang pinakamainam na ruta, naghatid ito ng mas masamang execution kaysa sa na-quote, na humantong sa humigit-kumulang $225,000 sa mga sobrang tinaas na quote.
Dagdag pa rito, nakilala ng koponan ng Enso ang maraming blockchain oracle contract na dineploy ng parehong operator upang suportahan ang mga karagdagang pool, na nagpapahiwatig na ang taktika ay malamang na mas laganap kaysa sa dalawang naitalang kaso at maaaring kumatawan sa isang umuusbong na template para sa on-chain extraction.
Ang mga natuklasan ay naglalahad ng isang direktang hamon sa user-facing layer ng DeFi ecosystem. Ang mga popular na wallet, consumer-facing na interface, at mga aggregator ay lubos na umaasa sa mga awtomatikong simulation upang magarantiya ang “best path” para sa trade ng isang user.
Binibigyang-diin ng ulat ng Enso na kung hindi kayang ihiwalay ng routing infrastructure ang isang lehitimong quote mula sa isang minanipula, patuloy na ididirekta ng mga front-end ang mga user patungo sa mga bitag na ito. Lumilikha ito ng mga potensyal na panganib sa legal at pinansyal na pananagutan para sa mga wallet provider at mga operator ng interface na nangangako ng “best execution” ngunit paulit-ulit na naghahatid ng mga toxic na ruta.
Bilang tugon sa banta, inanunsyo ng Enso na in-update nito ang execution-protection product nito, Enso Shield, upang isama ang nakalaang toxic-pool detection. Ang security tool ay idinisenyo upang lampasan ang mga karaniwang simulation method sa pamamagitan ng pagsusuri ng live on-chain context, pagmamanman sa quote history, at paggamit ng transaction traces upang matukoy ang mga discrepancy sa execution.
Sa halip na sisihin ang mga indibidwal na decentralized exchange, nanawagan ang Enso sa mas malawak na industriya ng cryptocurrency na magsagawa ng karagdagang pananaliksik tungkol sa manipulasyon ng mga simulation ng transaksyon.
“Kung ang mga simulation ng transaksyon ay maaaring manipulahin habang ang totoong execution ay nagsasabi ng ibang kuwento,” sabi ni Costantini, “kailangan natin ng mas mabubuting paraan upang ma-verify kung ano talaga ang natatanggap ng mga user.”
Ang artikulong ito ay isinalin mula sa Ingles gamit ang AI. Ang orihinal na bersyon sa Ingles ang opisyal na pinagmumulan; maaaring maglaman ng mga kamalian ang mga awtomatikong pagsasalin, lalo na sa legal at regulatoryong terminolohiya.

















