jakiro
4 月 12 日,Blast 上的借貸應用 Pac Finance 用戶稱在 4 月 11 日因為開發者錢包突然更改參數而遭受了 2400 萬美元的清算。
Pac Finance 允許加密貨幣持有者存入資金並通過借貸資本來賺取利息,為了確保還款,僅允許借款人借出相當於抵押品價值的一定百分比的貸款。這個百分比稱為「貸款價值比」(LTV)。據 Blast 網絡的區塊鏈數據,Pac Finance 開發者錢包於 4 月 11 日 UTC 時間凌晨 1:06 在其 PoolConfigurator-Proxy 合約上調用了一個函數,將 ezETH 的 LTV 設定為 60%。
LTV 可以由開發團隊更改,但通常只在公告後才會執行。不過這次參數更改 Pac Finance 並沒有在官方渠道發布公告,因此導致平臺用戶遭遇清算。
清算事件發酵後,Pac Finance 團隊成員在社區澄清並非是沒有發布公告,而是在向他人進行回復時宣布了這一決定。並稱團隊此前向負責合約的工程師交代需要修改 LTV 的任務,但是工程師在沒有跟團隊溝通的情況下擅自修改了 liquidity threshold 導致了這次問題,「我們在跟 pacman 和 zachxbt 等幾位安全審計專家一起調查 同時在聯繫收到影響的幾位用戶」。
Pac Finance 是 Blast 上第一個混合借貸協議,同時具有點對點貸款和點對池貸款功能。此前,因為空投預期而成為熱門交互協議。此次無故清算事件發生後,社區也想起了該創始團隊之前的項目,同樣上演了一場 Drama 事件。
去年 5 月,NFT 借貸協議 ParaSpace 上演了一場內鬥戲碼,多位 KOL 發文預警 ParaSpace 團隊內部出現矛盾,並建議用戶儘快撤資,此事在社區內速發酵,大量用戶出於恐慌紛紛頂著高額 gas 從 ParaSpace 內撤出資金。在這場風波中,ParaSpace 創始團隊的「項目控制權」和「團隊信任」都受到一定質疑,儘管隨後確保了用戶資金安全,但在市場輿論層面受到較大影響。此後 ParaSpace 宣布同 Parallel Finance 進行合併和品牌重塑,以創建 ParaX。
回到此次 Pac Finance 事件,其並不是 Blast 上第一個出現資金安全問題的項目。Blast 作為去年年底橫空出世的 Layer2,在空投預期以及 TVL 爆炸式增長的渲染下,其上產生了很多早期原生項目,但與此同時也產生了很多問題。
3 月初,Blast 借貸協議 Orbit Lending 也被 KOL 指控清算閾值存在問題,協議寫明 83% 為清算閾值,但實際達到 80% 就會遭遇清算。不過該項目在隨後對受損用戶進行了賠付。
同期,Blast 生態項目 Munchables 稱其遭到攻擊,鎖定合約疑似存在問題,導致 1.74 萬枚 ETH(價值約 6230 萬美元)被盜。SomaXBT 披露 Munchables 此前為節省審計費用,僱傭不知名安全團隊 EntersoftTeam 出具審計報告。該團隊的帳號簡介為「我們是一家屢獲殊榮的應用程式安全公司,擁有經過認證的白帽黑客」,但平臺僅百餘名關注者。
後經 ZachXBT 分析,Munchables 團隊僱傭的四個不同的開發人員可能都是同一個人。但在同一天,Munchables 攻擊者卻又退還了 1.7 萬枚 ETH,令社區大為不解。
總而言之,在加密世界,安全始終是紅線問題,無論獲得多少融資,保證用戶資金安全才是一個好項目的必行之義。
