Запущенный по образцу Aave лендинговый протокол Pac Finance на базе L2-решения Blast столкнулся с неожиданными ликвидациями позиций пользователей на $26 млн.
Random Aave fork on Blast decreased Liquidation Threshold (LT) instead of Loan to Value (LTV) causing $26M worth of unnecessary liquidations.
— Stani^ (@StaniKulechov) April 12, 2024
Fundamental problem with forking code is the lack of in-depth knowledge of the software and the parameters. https://t.co/eTNBlNBoqg
«Непродуманный форк Aave на Blast снизил порог ликвидации (LT) вместо отношения суммы кредита к стоимости залога (LTV), что привело к неоправданному закрытию позиций на $26 млн. Фундаментальной проблемой использования кода является отсутствие фундаментальных знаний о ПО и его параметрах», — прокомментировал основатель и CEO Avara Стани Кулечов.
Команда Pac Finance заявила, что знает о происшествии и «поддерживает контакт с затронутыми пользователями».
Thank you for letting us know Will. We are aware of the issue and are in contact with the impacted users, actively developing a plan with them to mitigate the issue.
— Pac Finance (@pac_finance) April 11, 2024
In our effort to adjust the LTV, we tasked a smart contract engineer to make the necessary changes. However, it…
«Пытаясь скорректировать LTV, мы поручили инженеру по смарт-контрактам внести необходимые изменения. Однако обнаружили, что без нашего ведома неожиданно был изменен порог ликвидации, что привело к текущей проблеме», — признали разработчики.
По их словам, в дальнейшем они намерены внедрить контракт для управления лимитами и форум для обсуждения всех будущих обновлений, чтобы гарантировать их плановость.
Криптоаналитик под ником 0xLoki обратил внимание , что 93% ликвидаций выполнены одним адресом, владелец которого получил прибыль в размере около 244 ETH (~$854 000).
По его мнению, команде Pac Finance стоит выяснить, кто оказался бенефициаром.
«Если ликвидатор и модификатор параметра связаны, то это мошенничество. Если нет — просто происшествие», — отметил он.
Напомним, в марте эксплойт гейминговой Web3-платформы Munchables на Blast оказался крупнейшим инцидентом за месяц с ущербом в $97 млн. Хакер вернул все средства без всяких условий.