Запущений за зразком Aave лендинговий протокол Pac Finance на базі L2-рішення Blast зіткнувся з несподіваними ліквідаціями позицій користувачів на $26 млн.
Random Aave fork on Blast decreased Liquidation Threshold (LT) instead of Loan to Value (LTV) causing $26M worth of unnecessary liquidations.
Fundamental problem with forking code is the lack of in-depth knowledge of the software and the parameters. https://t.co/eTNBlNBoqg
— Stani^ (@StaniKulechov) April 12, 2024
«Непродуманий форк Aave на Blast знизив поріг ліквідації (LT) замість відношення суми кредиту до вартості застави (LTV), що призвело до невиправданого закриття позицій на $26 млн. Фундаментальною проблемою використання коду є відсутність фундаментальних знань про ПЗ і його параметри», — прокоментував засновник і CEO Avara Стані Кулечов.
Команда Pac Finance заявила, що знає про подію і «підтримує контакт із постраждалими користувачами».
Giant swath of ezETH Liquidations on pac finance last night on blast, someone got tagged for $24m pic.twitter.com/uzqRX0UAUD
— Will Sheehan (@wilburforce_) April 11, 2024
«Намагаючись скорегувати LTV, ми доручили інженеру зі смартконтрактів внести необхідні зміни. Однак виявили, що без нашого відома несподівано було змінено поріг ліквідації, що призвело до поточної проблеми», — визнали розробники.
За їхніми словами, надалі вони мають намір впровадити контракт для управління лімітами і форум для обговорення всіх майбутніх оновлень, щоб гарантувати їхню плановість.
Криптоаналітик під ніком 0xLoki звернув увагу на те, що 93% ліквідацій виконано однією адресою, власник якої отримав прибуток у розмірі близько 244 ETH (~$854 000).
На його думку, команді Pac Finance варто з’ясувати, хто виявився бенефіціаром.
«Якщо ліквідатор і модифікатор параметра пов’язані, то це шахрайство. Якщо ні — просто подія», — зазначив він.
Нагадаємо, у березні злом геймінгової Web3-платформи Munchables на Blast виявився найбільшим інцидентом за місяць зі збитком у $97 млн. Хакер повернув усі кошти без жодних умов.