Пользователь попытался купить AAVE на сумму $50 млн в USDT через интерфейс Aave.
Учитывая необычайно большой объем единичного ордера, интерфейс Aave, как и большинство торговых платформ, предупредил пользователя об огромном проскальзывании и потребовал подтверждения через чекбокс. Пользователь подтвердил предупреждение на своем мобильном устройстве и продолжил своп, приняв высокое проскальзывание. В конечном итоге это привело к тому, что взамен он получил всего 324 AAVE.
Транзакция не могла бы пройти дальше без явного принятия риска пользователем путем установки галочки в чекбоксе.
Маршрутизаторы CoW Swap отработали в штатном режиме, а интеграция соответствовала стандартным практикам индустрии. Однако, хотя пользователю и удалось провести обмен, итоговый результат оказался явно далек от оптимального.
Подобные инциденты действительно случаются в DeFi, но масштаб этой транзакции был значительно больше того, с чем мы обычно сталкиваемся в этой сфере.
Мы искренне сочувствуем пользователю, постараемся выйти с ним на связь и вернем $600 000 в виде комиссий, полученных с этой транзакции.
Главный вывод заключается в том, что, хотя сфера DeFi должна оставаться открытой и не требующей разрешений, позволяя пользователям свободно совершать транзакции, индустрии по силам создать дополнительные защитные механизмы, чтобы лучше оберегать пользователей. Наша команда будет изучать способы улучшения этих мер безопасности в будущем.
Если говорить точнее, проблема заключалась не в проскальзывании, а в том, что пользователь принял котировку с сильным влиянием на цену, при этом получив предупреждение и осознанно согласившись продолжить операцию. Более подробный технический разбор доступен здесь.
Mev bot Titan Builder извлек ETH на $34 млн из этой транзакции и немедленно перевел эти средства на Coinbase.
