Недавней неудачей децентрализованной биржи (DEX) Lifinity стал случай, когда 8 декабря арбитражный бот вывел около 700 000 долларов США из пула LFNTY-USDC Lifinity.
dent произошел из-за ошибки, связанной с ордером «Immediate-or-Cancel» (IOC), которая привела к неожиданному ответу, приведшему к потере 699 090 долларов США, как было раскрыто в Discord-канале компании. Эксплойт заключался в попытке бота провести арбитражную сделку по маршруту USDC > xLFNTY > LFNTY > USDC, стремясь извлечь выгоду из разницы цен между различными торговыми парами.
Неожиданные последствия немедленного или отменённого заказа
По словам Дёрдена, ключевого сотрудника Lifinity, уязвимость была выявлена, когда арбитражный бот инициировал рыночный ордер типа «немедленно или отмена» (Immediate-or-Cancel, IOC) на Serum v3, особый тип ордера, требующий немедленного исполнения по текущей рыночной цене в случае исполнения. Аномалия возникла, когда вместо сообщения об ошибке в случае неудавшейся сделки система отреагировала на нулевую сумму. Впоследствии пулы обработали как входящую, так и исходящую сумму, что привело к обновлению программы до 0 последней цены транзакции. Неожиданное поведение повлияло на следующую стартовую цену, создав уязвимость, которой арбитражный бот воспользовался, эксплуатируя крайне низкую цену, предложенную пулом. В результате эксплуатация привела к утечке средств из пула LFNTY-USDC Lifinity.
Сложность этой ошибки раскрывает деликатную природу децентрализованных бирж основанных на смарт- trac , подчеркивая критическую необходимость в надежных механизмах обработки ошибок для предотвращения непредвиденных последствий. Опыт Lifinity подчеркивает важность постоянного мониторинга и доработки кода для выявления dent оперативного устранения подобных уязвимостей, обеспечивая целостность децентрализованных финансовых платформ в условиях постоянно меняющейся среды.
Lifinity v1 работает как автоматизированный маркет-мейкер (AMM), используя алгоритмы для генерации ликвидности в торговых парах. Дёрден подчеркнул, что Lifinity использует модель маркет-мейкера с постоянным продуктом (CPMM) для поддержания равновесия между двумя количествами токенов в пуле ликвидности. Эта модель используется и другими децентрализованными биржами, такими как Uniswap и Bancor. Lifinity v1, хотя и не поддерживает стандартную кривую постоянного продукта (CP), используемую в традиционных CPMM, воспроизводит её функцию. Однако неожиданный возврат нулевой цены из-за ошибки позволил арбитражному боту воспользоваться этим расхождением, что привело к утечке средств.
Реакция Lifinity и усилия по возврату средств
После инцидента команда Lifinity активно работает над восстановлением ликвидности пула. Команда анализирует код протокола и принимает меры по восстановлению потерянных средств. В частности, Lifinity обновила свою систему, чтобы отклонять сделки с нулевой суммой, стремясь предотвратить подобные инциденты в будущем. Несмотря на серьёзность утечки, участники сообщества на таких платформах, как dent (ранее Twitter), подчеркнули, что инцидент dent был результатом преднамеренной атаки.
Пока Lifinity устраняет последствия эксплойта,dent подчеркивает проблемы и уязвимости, связанные с автоматизированными маркет-мейкерами и децентрализованными биржами. Бдительность, необходимая дляdentи устранения подобных ошибок, становится критически важной, поскольку эти платформы продолжают играть ключевую роль в развивающемся ландшафте децентрализованных финансов. Пока Lifinity работает над восстановлением, сообщество наблюдает за тем, какdent может повлиять на текущую разработку и методы обеспечения безопасности децентрализованных бирж.
Заключение
Недавняя встреча Lifinity с арбитражным ботом, эксплуатирующим уязвимость в протоколе, наглядно демонстрирует сложные проблемы и потенциальные подводные камни, с которыми сталкиваются децентрализованные биржи. Этотdent подчеркивает критическую важность строгих механизмов обработки ошибок и постоянного контроля кода для поддержания безопасности и надежности этих платформ. Пока Lifinity усердно работает над восстановлением потерянных средств и защитой своей системы от будущих атак, сообщество децентрализованных финансов сохраняет бдительность, извлекая ценные уроки из этого инцидента для повышения устойчивости автоматизированных маркет-мейкеров и децентрализованных бирж в постоянно меняющемся финансовом ландшафте.
