Взлом Edel Finance: как манипуляция курсом обнулила залог
Уязвимость здесь не в «хакере с магией», а в банальной поверхности атаки: обменный курс обернутого актива стал входом в кредитный контур.

Где сломалась архитектура залога
Согласно опубликованным данным, злоумышленники манипулировали обменным курсом между wGOOGLx и GOOGLx. После этого залог в wGOOGLx внутри кредитного протокола стал оцениваться примерно в 78 раз выше реальной стоимости.
Дальше схема стандартная для lending-протоколов с плохой ценовой изоляцией. Завышенный залог используется для займа. Заем выводится. Реальное обеспечение остается кратно меньше долга. Протокол получает дыру, кредиторы — риск невозврата.
Blockaid, как передает источник, считает, что атакующие развернули специально созданные смарт-контракты и использовали флэш-кредит для временного завышения обменного курса. Это важная деталь. Если для атаки достаточно кратковременного искажения состояния в одной транзакции, значит, проверять надо не только oracle feed, но и внутреннюю механику конвертации wrapped-актива.
После атаки украденные активы, по сообщениям специалистов по безопасности, были отправлены в Tornado Cash. Это не доказывает личность атакующего и не добавляет технических деталей, но ухудшает практическую вероятность простого возврата средств.
Что известно о реакции Edel Finance
Edel Finance заявила, что взлом был локализован. Также сообщалось, что протокол «не был раскрыт»; формулировка источника не дает достаточной технической ясности, поэтому трактовать ее как полный аудит безопасности нельзя.
Ключевой пробел — компенсации и патч. По имеющимся данным, о компенсации потерь пострадавшим кредиторам не сообщалось. О мерах по устранению уязвимости в механизме обменного курса wGOOGLx/GOOGLx также не сообщалось.
Это плохой набор неизвестных для пользователя. Если протокол кредитования принимает токенизированные акции от внешних провайдеров и работает с обернутыми версиями активов, его безопасность зависит не от бренда базового актива, а от конкретной функции оценки залога. Google как underlying здесь не помогает. Ошибка находится уровнем ниже — в DeFi-обвязке.
Edel Finance, по данным источника, позволяет получать доходность, брать и выдавать займы под залог токенизированных акций. Протокол использует токенизированные активы от провайдеров вроде Ondo Finance и xStocks и работает в сетях Ethereum и Canton Network. Для такой архитектуры критичны лимиты на залог, независимые источники цены, задержки обновления курса и защита от внутритранзакционного искажения состояния.
Практический вывод для кредиторов и LP
Проверять надо не APY, а путь цены до health factor. Если wGOOGLx конвертируется в GOOGLx через внутренний курс, а затем этот курс прямо влияет на borrow capacity, это зона повышенного риска. Особенно если курс можно сдвинуть ликвидностью, флэш-кредитом или временным дисбалансом пула.
Контекст неприятный, но не уникальный. Bits Media отдельно сообщала об атаке на Summer Finance: там хакер, по данным криптотрейдера Crypto Jargon, использовал мгновенный заем, манипулировал ликвидностью в пулах Curve DAI/USDC и Morpho, получил прибыль $6 млн и погасил заем в рамках той же транзакции. Основатель Phylax Systems Одиссеас Ламцидис предположил, что уязвимость могла быть связана не с ключами администратора, а с ошибкой подсчета балансов и ликвидности хранилища.
Паттерн один: протокол считает состояние мира слишком доверчиво. Атакующий берет временную ликвидность, деформирует локальную математику, извлекает кредит или прибыль и закрывает заем до конца транзакции. Если шаг не проходит, он теряет в основном газ. Если проходит — пользователи получают постмортем.
По данным PeckShield, которые приводит Bits Media, за июнь из криптопроектов украли около $75,8 млн в 40 крупных инцидентах; значительная часть атак пришлась на кроссчейн-мосты, DeFi-протоколы и смарт-контракты. Это не повод для паники. Это бенчмарк качества архитектуры: любой lending-протокол с обернутыми активами и сложной моделью залога должен публично объяснять, как он защищает расчет цены от флэш-кредитов. Если объяснения нет, значит, риска тоже никто не посчитал.