מ-50 מיליון ל-36,000 דולר בעסקה אחת: טעות המסחר היקרה של משתמש הקריפטו Aave

משתמש של פרוטוקול ההלוואות המבוזרות Aave ביצע בסוף השבוע (ה') את אחת מטעויות המסחר היקרות ביותר בהיסטוריית הכלכלה המבוזרת מבוססת הבלוקצ׳יין: המשתמש ביצע פעולת המרת קריפטו שהפכה 50 מיליון דולר ל-36,000 דולר בפחות מרגע. 

מדובר בטעות קריטית שנגרמה עקב חוסר תשומת לב מצד המשתמש, תזכורת לסכנות הקיימות בכלכלה המבוזרת (DeFi), מערכת פיננסית המבוססת על חוזים חכמים בבלוקצ'יין ללא מתווכים כמו בנקים.

את ההפסד השלימו בוטים מסוג MEV (ר"ת Maximal Extractable Value), בוטים שסורקים עסקאות ממתינות ברשת הבלוקצ'יין ומרוויחים מפערי המחירים, שניצלו את ההזדמנות לרווח מהיר של 43 מיליון דולר על חשבונו של המשתמש.

בסך הכל, המשתמש שילם כ-154,000 דולר למטבע Aave אחד, בזמן שמחיר השוק של המטבע עומד על כ-$114.

איך נראתה העסקה 

המשתמש האנונימי הפקיד 50.4 מיליון דולר בסטייבלקוין USDT לפרוטוקול ההלוואות Aave, וביקש להמירם למטבע AAVE, המטבע העיקרי בו נעשה שימוש בפרוטוקול. הבקשה הופנתה אוטומטית לבורסה המבוזרת SushiSwap, לבריכת הנזילות (Liquidity Pool, מאגר של מטבעות המאפשר למשתמשים לסחור ביניהם) הספציפית שנועדה לטפל בהמרות AAVE.

הבעיה הייתה שבזמן שהמשתמש ניסה לבצע את ההמרה, אותה בריכה החזיקה בסך הכל כ-73,000 דולר. כשהזמנה של 50 מיליון דולר נכנסת לבריכה בגודל כזה, אין מספיק מטבעות בצד השני של העסקה, לכן המחיר מתרסק, והמשתמש מקבל פחות מכל ציפייה סבירה.

אותו משתמש בחר להתעלם מהאזהרה שהופיעה על המסך וביצע את ההמרה בכל זאת. לאחר מכן הופתע לגלות שקיבל 327 מטבעות AAVE בשווי 36,000 דולר בלבד, במקום המיליונים שהופקדו.

אסור להתעלם מהערות אזהרה

לפני שהמשתמש אישר את העסקה, הממשק הציג לו אזהרה ברורה: הסליפאג' (Slippage, הפער בין המחיר שמוצג לבין המחיר שבו תבוצע העסקה בפועל) יהיה חריג. כדי להמשיך, המשתמש נדרש לסמן אישור מפורש בתיבת סימון. הוא סימן, ולחץ אישור מהטלפון הנייד שלו.

סטאני קולצ'וב, מייסד Aave, כתב בפוסט ב-X: "המשתמש אישר את האזהרה במכשיר הנייד שלו והמשיך בהחלפה, תוך קבלת הסליפאג' הגבוה."

מרטין גרבינה, מהנדס ב-Aave, הבהיר כי: "הבעיה המרכזית לא הייתה סליפאג', אלא הייתה פשוט קבלת ההצעה ע"י המשתמש עם השפעת מחיר של 99%."

מתקפת סנדוויץ': הבוטים זיהו את ההזדמנות וגרפו 43 מיליון דולר

בזמן שהעסקה עדיין המתינה לאישור ברשת, בוטים ממוחשבים מסוג MEV גילו אותה וניצלו אותה מיד. 

הבוטים ביצעו מה שנקרא מתקפת סנדוויץ': הם רכשו מטבעות AAVE ברגעים שלפני שעסקת המשתמש אושרה סופית, העלו בכך את המחיר, ומכרו מיד אחרי שעסקת המשתמש בוצעה, כשהמחיר כבר היה גבוה. כך הרוויחו הבוטים על חשבון הפסדו של המשתמש.

לפי ניתוח של חברות הניתוח Arkham Intelligence, גורם הנקרא Titan Builder גרף לבדו בין 32 ל-34 מיליון דולר, ובוט נוסף הרוויח כ-10 מיליון דולר. בסך הכל נשאבו מעל 43 מיליון דולר מהעסקה על ידי סוחרי ארביטראז", גורמים המרוויחים מניצול פערי מחיר.

Aave תפצה חלקית את המשתמש

פלטפורמת Aave הכריזה כי תחזיר למשתמש כ-1.2% מסכום העסקה המקורי, כ-600,000 דולר שגבתה כעמלת פרוטוקול מהעסקה, אך מדגישה שמדובר בעמלות שנגבו, לא בשחזור ההפסד. כמעט כל ה-50 מיליון דולר כבר בידי הבוטים.

"המסקנה העיקרית היא שלמרות ש-DeFi צריך להישאר פתוח וחסר הרשאות, המאפשר למשתמשים לבצע עסקאות בחופשיות, יש מנגנוני הגנה נוספים שהתעשייה יכולה לבנות כדי להגן טוב יותר על המשתמשים," אמר קולצ'וב.

החשבון הרשמי ברשת X של CoW DAO, פרוטוקול הלוואות נוסף, פרסם כי "אירועים מסוג זה מראים שחוויית המשתמש ב-DeFi עדיין לא נמצאת במקום שהיא צריכה להיות כדי להגן על כל המשתמשים. בבורסה מסורתית, עסקה כזו פשוט לא הייתה עוברת. מנגנוני ציות ובקרות אוטומטיות היו חוסמים אותה. ב-DeFi, הקוד עושה בדיוק מה שהמשתמש ביקש ממנו גם אם התוצאה היא הרס עצמי"

בשורה התחתונה, פרוטוקול ההלוואות עשה את מה שממשק טוב אמור לעשות, הזהיר, הסביר, וביקש אישור מפורש לביצוע הפעולה. 

לעומת זאת, המשתמש עשה את מה שמשתמשים לפעמים עושים, לחץ אישור מהטלפון הנייד מבלי לקרוא למה הוא מסכים. ההפרש בין השניים הסתכם בהפסד של כ-50 מיליון דולר.

למידע נוסף שעשוי לעניין אותך:

• בלוקצ'יין – המדריך המלא

• מטבעות דיגיטליים – המדריך המלא

• מטבעות יציבים (סטייבלקוינס) – המדריך המלא

• Aave פלטפורמת ה-DeFi המובילה – המדריך המלא

דיסקליימר: ידיעה זו נכתבה בסיוע כלי בינה מלאכותית תחת עריכה ופיקוח של צוות קריפטו ג'ונגל.

טל שמיר

בן 34, בוגר תואר במנהל עסקים עם התמחות במימון, מחבר הספר Bitcoin: Your Everlasting Income Machine