Một Pool lending trên Morpho bị rút tiền trong do lỗi cấu hình oracle

Vào rạng sáng ngày 14/10, một pool tài sản trên Morpho đã bị rút mất một khoản tiền lớn sau khi một đối tượng phát hiện ra lỗi trong cấu hình oracle. Pool bị tấn công thuộc cặp tài sản PAXG/USDC, với thiệt hại ước tính khoảng 230.000 USD do lỗi sai lệch trong việc định giá.

1/ $230K @MorphoLabs PAXG/USDC Market Oracle Exploit Breakdown

The Morpho PAXG/USDC market (tokenized gold via @Paxos ) was exploited, leading to a $230K loss.

The root cause? A misconfigured oracle pricing gold at $2.6 trillion USD. pic.twitter.com/lVo1MCAIyg

— omer (@omeragoldberg) October 13, 2024

Morpho là một nền tảng lending phi tập trung, cho phép người dùng tạo các pool cho vay linh hoạt. Tuy nhiên, trong sự cố lần này, người tạo pool không hiểu rõ cách hoạt động của cấu hình oracle, dẫn đến sai lệch trong định giá của token PAXG. Giá của PAXG được đẩy lên cao hơn nhiều so với giá trị thực, tạo cơ hội cho kẻ tấn công lợi dụng.

Theo đó, đối tượng đã nạp 350 USD giá trị PAXG và nhanh chóng rút được 250.000 USD tài sản từ pool. Chuyên gia cho rằng sự cố này có thể bắt nguồn từ việc giao thức chú trọng vào tỷ giá tham chiếu thay vì kiểm tra kỹ dữ liệu giá sau khi thực hiện các tính toán.

LeadBlock curator on the busted morpho market repaid their loan and exited their liquidity leaving this one poor soul to take all the bad debt

maybe LeadBlock figured with 5 million and a bunch of EUL tokens this whale could afford it pic.twitter.com/hoOQKJ3Sem

— Togbe (@Togbe0x) October 13, 2024

Cộng đồng DeFi hiện đang chú ý đến LeadBlock, đơn vị được cho là đã khởi tạo và vận hành pool lending này. Các hoạt động on-chain cho thấy LeadBlock đã nhanh chóng rút thanh khoản khỏi pool sau khi sự cố xảy ra, để lại một lượng nợ xấu tồn đọng.

Hiện tại @MorphoLabs vẫn chưa đưa ra bất kỳ thông báo chính thức nào liên quan đến sự cố.