最近,去中心化交易所 (DEX) Lifinity 遭遇挫折,12 月 8 日,一个套利机器人从 Lifinity 的 LFNTY-USDC 资金池中窃取了约 70 万美元。.
此次dent 是由一个与“立即执行或取消”(IOC)订单相关的漏洞引起的,导致意外响应,造成公司损失699,090美元,公司已在其Discord频道披露了此事。该漏洞利用机器人试图通过USDC > xLFNTY > LFNTY > USDC的路径进行套利交易,旨在利用不同交易对之间的价格差异获利。.
立即下单或取消订单的意外后果
据Lifinity核心成员Durden称,此次漏洞利用发生在套利机器人发起Serum v3平台的“立即成交或取消”(IOC)市价单时。IOC是一种特殊的订单类型,如果成交,则必须以当时的市场价格立即执行。异常之处在于,系统并未像通常那样发出交易失败的错误信号,而是响应了0金额的出库。随后,资金池同时处理了0金额的入库和出库,导致程序将最后一笔交易的价格更新为0。这种意外行为影响了下一个起始价格,从而造成了漏洞。套利机器人利用资金池提供的极低价格,成功利用了这一漏洞。最终,此次攻击导致Lifinity的LFNTY-USDC资金池资金被大量消耗。.
基于trac去中心化交易所的脆弱性,凸显了建立健全的错误处理机制以防止意外后果的迫切需求。Lifinity 的经验强调了持续监控和改进代码的重要性,以便识别dent及时解决此类漏洞,从而在日益复杂的环境中维护去中心化金融平台的完整性。
Lifinity v1 作为自动做市商 (AMM) 运行,利用算法为交易对生成流动性。Durden 强调,Lifinity 依赖于恒定乘积做市商 (CPMM) 模型来维持流动性池中两种代币数量的平衡。其他去中心化交易所,例如 Uniswap 和 Bancor,也采用了这种模型。Lifinity v1 虽然不支持传统 CPMM 中使用的标准恒定乘积 (CP) 曲线,但其功能与 CPMM 类似。然而,该漏洞导致价格意外返回 0,使得套利机器人能够利用这一差异,最终造成资金损失。.
Lifinity的回应和追回资金的努力
事件发生后dent Lifinity 团队正积极努力恢复资金池的流动性。团队正在审查协议代码,并采取措施追回损失的资金。值得注意的是,Lifinity 已更新其系统,拒绝交易金额为 0 的交易,旨在防止未来发生类似攻击。尽管资金流失严重,但X(原 Twitter)强调,此次dent并非蓄意攻击所致。
在 Lifinity 处理此次漏洞事件的后续工作之际,该dent 凸显了自动做市商和去中心化交易所面临的挑战和漏洞。随着这些平台在不断发展的去中心化金融领域中持续扮演关键角色,dent和修复此类漏洞所需的警惕性变得至关重要。在 Lifinity 努力恢复之际,更广泛的社区也在关注此次dent 可能对去中心化交易所的持续发展和安全实践产生的影响。.
结论
Lifinity 近期遭遇套利机器人利用其协议漏洞攻击,凸显了去中心化交易所面临的复杂挑战和潜在风险。此次dent 强调了严格的错误处理机制和持续的代码审查对于维护这些平台的安全性和可靠性至关重要。Lifinity 正在努力追回被盗资金并加强系统防御,以防范未来攻击。与此同时,更广泛的去中心化金融社区保持警惕,从此次事件中汲取宝贵经验,以增强自动做市商和去中心化交易所在不断变化的金融环境中的韧性。.
