Foto: Shutterstock/K.unshu
In november verloor de decentrale exchange dYdX 9 miljoen dollar aan een doordachte hack. Even leek het erop dat het een ongeluk was, maar dit was niet het geval. Afgelopen week is de vermoedelijke aanvaller geïdentificeerd.
YFI rug pull zorgt voor miljoenenverlies
De aanval voltrok zich op het handelsplatform, waar de hacker met 5x-hefbomen een grote longpositie in Yearn Finance’ token YFI had vergaard. Via ruim 100 verschillende walletadressen en de flinke hefboom kocht de hacker veel van de tokens op, wat een stijging van 215% veroorzaakte.
De stijging vond ook zijn doorslag bij andere exchanges, maar die was maar van korte duur. De hacker veroorzaakte namelijk een rug pull door zijn positie plotseling te verkopen. De hierop volgende crash veroorzaakte veel long-liquidaties, terwijl de hacker juist winst wist te pakken.
Een week eerder deed de hacker ironisch genoeg exact hetzelfde met SushiSwap’s native token SUSHI. De inleg van de crimineel was toen zo’n 5,3 miljoen dollar.
DYdX werkt samen met overheid na hack
In een postmortem beschrijft dYdX dat de ontwikkelaars samen met leden uit de community en forensisch onderzoekers de identiteit van de aanvaller hebben achterhaald. DYdX Trading onderzoekt nu wat het verder op juridisch vlak kan doen tegen de hacker. Daarvoor werkt het samen met wetshandhavers, alhoewel het niet vertelt welke instanties dit precies zijn.
Om te voorkomen dat hetzelfde mechanisme in de toekomst opnieuw kan worden uitgebuit, hebben de ontwikkelaars enkele maatregelen genomen op dYdX v3. Zo is het vanaf nu vereist om meer cash aan te houden als je met hefbomen handelt in markten waar minder liquiditeit is. Ook kun je bij het handelen met hefbomen minder in één keer aan je positie toevoegen.
Er bestaat ook al een vierde versie van het handelsplatform, dat is volgens het postmortem volledig ontworpen met deze risico’s in het achterhoofd. Daarvoor is de liquidity engine volledig voor herontworpen.
Adam Cochran, die dYdX-concurrent Synthetix (SNX) adviseert, gebruikte de aankondiging juist om extra olie op het vuur te gooien. Hij vindt het krom dat dYdX handelaren uit hun posities heeft moeten dwingen en vervolgens klaagt over gebruikers van het platform.
So DyDx has in the past 24 hours:
-Auto deleveraged profitable traders closing their trades.
-Threatened to sue traders for losses incurred from their bad params.Synthetix on the other hand lost funds on the TRB price vol, made it back in <72 hours, and doesn’t have the power… https://t.co/qjshvNpJYs pic.twitter.com/qHY5gOTtjr
— Adam Cochran (adamscochran.eth) (@adamscochran) January 4, 2024
