Користувач спробував купити AAVE на суму $50 млн в USDT через інтерфейс Aave.
З огляду на надзвичайно великий обсяг одиничного ордера, інтерфейс Aave, як і більшість торгових платформ, попередив користувача про величезне прослизання і зажадав підтвердження через чекбокс. Користувач підтвердив попередження на своєму мобільному пристрої і продовжив своп, прийнявши високе прослизання. В кінцевому підсумку це призвело до того, що натомість він отримав всього 324 AAVE.
Транзакція не могла б пройти далі без явного прийняття ризику користувачем шляхом встановлення галочки в чекбоксі.
Маршрутизатори CoW Swap відпрацювали в штатному режимі, а інтеграція відповідала стандартним практикам індустрії. Однак, хоча користувачеві і вдалося провести обмін, підсумковий результат виявився явно далеким від оптимального.
Подібні інциденти дійсно трапляються в DeFi, але масштаб цієї транзакції був значно більшим за те, з чим ми зазвичай стикаємося в цій сфері.
Ми щиро співчуваємо користувачеві, постараємося зв'язатися з ним і повернемо $600 000 у вигляді комісій, отриманих з цієї транзакції.
Головний висновок полягає в тому, що, хоча сфера DeFi повинна залишатися відкритою і не вимагати дозволів, дозволяючи користувачам вільно здійснювати транзакції, індустрія в змозі створити додаткові захисні механізми, щоб краще оберігати користувачів. Наша команда буде вивчати способи поліпшення цих заходів безпеки в майбутньому.
Якщо говорити точніше, проблема полягала не в прослизанні, а в тому, що користувач прийняв котирування з сильним впливом на ціну, при цьому отримавши попередження і свідомо погодившись продовжити операцію. Більш детальний технічний розбір доступний тут.
Mev bot Titan Builder вилучив ETH на $34 млн з цієї транзакції і негайно перевів ці кошти на Coinbase.
