4 月 12 日,Blast 上的借贷应用 Pac Finance 用户称在 4 月 11 日因为开发者钱包突然更改参数而遭受了 2400 万美元的清算。
Pac Finance 允许加密货币持有者存入资金并通过借贷资本来赚取利息,为了确保还款,仅允许借款人借出相当于抵押品价值的一定百分比的贷款。这个百分比称为「贷款价值比」(LTV)。据 Blast 网络的区块链数据,Pac Finance 开发者钱包于 4 月 11 日 UTC 时间凌晨 1:06 在其 PoolConfigurator-Proxy 合约上调用了一个函数,将 ezETH 的 LTV 设定为 60%。
LTV 可以由开发团队更改,但通常只在公告后才会执行。不过这次参数更改 Pac Finance 并没有在官方渠道发布公告,因此导致平台用户遭遇清算。
清算事件发酵后,Pac Finance 团队成员在社区澄清并非是没有发布公告,而是在向他人进行回复时宣布了这一决定。并称团队此前向负责合约的工程师交代需要修改 LTV 的任务,但是工程师在没有跟团队沟通的情况下擅自修改了 liquidity threshold 导致了这次问题,「我们在跟 pacman 和 zachxbt 等几位安全审计专家一起调查 同时在联系收到影响的几位用户」。
Pac Finance 是 Blast 上第一个混合借贷协议,同时具有点对点贷款和点对池贷款功能。此前,因为空投预期而成为热门交互协议。此次无故清算事件发生后,社区也想起了该创始团队之前的项目,同样上演了一场 Drama 事件。
去年 5 月,NFT 借贷协议 ParaSpace 上演了一场内斗戏码,多位 KOL 发文预警 ParaSpace 团队内部出现矛盾,并建议用户尽快撤资,此事在社区内速发酵,大量用户出于恐慌纷纷顶着高额 gas 从 ParaSpace 内撤出资金。在这场风波中,ParaSpace 创始团队的「项目控制权」和「团队信任」都受到一定质疑,尽管随后确保了用户资金安全,但在市场舆论层面受到较大影响。此后 ParaSpace 宣布同 Parallel Finance 进行合并和品牌重塑,以创建 ParaX。
回到此次 Pac Finance 事件,其并不是 Blast 上第一个出现资金安全问题的项目。Blast 作为去年年底横空出世的 Layer2,在空投预期以及 TVL 爆炸式增长的渲染下,其上产生了很多早期原生项目,但与此同时也产生了很多问题。
3 月初,Blast 借贷协议 Orbit Lending 也被 KOL 指控清算阈值存在问题,协议写明 83% 为清算阈值,但实际达到 80% 就会遭遇清算。不过该项目在随后对受损用户进行了赔付。
同期,Blast 生态项目 Munchables 称其遭到攻击,锁定合约疑似存在问题,导致 1.74 万枚 ETH(价值约 6230 万美元)被盗。SomaXBT 披露 Munchables 此前为节省审计费用,雇佣不知名安全团队 EntersoftTeam 出具审计报告。该团队的账号简介为「我们是一家屡获殊荣的应用程序安全公司,拥有经过认证的白帽黑客」,但平台仅百余名关注者。
后经 ZachXBT 分析,Munchables 团队雇佣的四个不同的开发人员可能都是同一个人。但在同一天,Munchables 攻击者却又退还了 1.7 万枚 ETH,令社区大为不解。
总而言之,在加密世界,安全始终是红线问题,无论获得多少融资,保证用户资金安全才是一个好项目的必行之义。