Singularity_Fi verloor $413K nadat een ongeldige Uniswap V3-kostenlaag stilletjes zijn oracle brak. Een $464K JUDAO-drain trof BNB Chain in dezelfde week.
Op 19 januari registreerde een Singularity_Fi-protocolbeheerder zes yield-token oracle-routes met een Uniswap V3-kostenlaag van 42. Uniswap V3 ondersteunt slechts vier geldige kostenlagen: 100, 500, 3000 en 10000.
Volgens DefimonAlerts op X, retourneerde elke aanroep naar factory.getPool() met die ongeldige laag adres(0). Het directe prijspad brak stilletjes. Geen alarm. Geen revert.
De dynBaseUSDCv3-kluis op Base bleef draaien. Het had alleen geen idee wat zijn activa waard waren.
De kluis dacht dat het $100 had. Het had meer.
WETH fallback-pools bestonden maar hadden nul liquiditeit. Dus VaultTokensLib.totalAssets() telde alleen de ruwweg $100 aan inactieve USDC in de kluis. Al het andere, de daadwerkelijke yield-tokens, werden als niets gelezen.
Drie maanden gingen voorbij.
De aanvaller leende 100.000 USDC via flashloan van Morpho. Stortte het in de kluis. Muntte bijna 99,99% van de totale voorraad tegen die gebroken ratio. De minting verliep zonder problemen, omdat de oracle zei dat de kluis bijna leeg was.
Toen kwam de inwisseling. Tokens werden proportioneel ingewisseld tegen elke werkelijke tokenbalans, volledig onafhankelijk van de oracle. De onderliggende yield-tokens gingen mee. Volgens DefimonAlerts bedroeg de totale schade ongeveer $413.000. De transactie is zichtbaar op Basescan. De oorspronkelijke kostenconfiguratietransactie is ook on-chain, getimestempeld januari.
Singularity_Fi bevestigde het incident in een Telegram-bericht. Een volledige post-mortem wordt verwacht, volgens de eigen aankondiging van het protocol.
Dit maakt deel uit van een verergerend patroon. De cryptoverliezen in april 2026 hebben al $620 miljoen overschreden, waarbij oracle-misconfiguraties tot de terugkerende aanvalstypen behoren.
BNB Chain wachtte niet op zijn beurt
Twee dagen later, een ander protocol. Een andere chain. Een vergelijkbare uitkomst.
DefimonAlerts meldde een tweede incident op X op 28 april. JUDAO, een token dat handelt op PancakeSwap met een gerapporteerde TVL van $22,3 miljoen, verloor ongeveer $464.000 in een deflatoire LP-drain.
Het JUDAO-contract bevat een aangepaste _update()-overdrachtsfunctie. Twee mechanismen worden geactiveerd bij elke verkoop. Ten eerste, een “isBurnPair”-controle verbrandt of herverdeelt JUDAO gelijk aan de verkoopomvang direct uit de reserves van het paar wanneer de prijs niet meer dan 5% is gestegen ten opzichte van de vorige dag. Ten tweede, een sync()-miningmechanisme onttrekt ongeveer 2% van de JUDAO-reserves van het paar naar een dood adres en mining-beloningen bij elke verkoop.
De aanvaller leende ongeveer 2,3 miljoen USDT via flashloan van Moolah. Kocht ongeveer 5,5 miljoen JUDAO. Verkocht een deel. Beide drain-mechanismen werden gelijktijdig geactiveerd.
De reserves van het paar raakten scheef. Resterende JUDAO werd teruggewisseld voor aanzienlijk meer USDT dan oorspronkelijk uitgegeven. Winst kwam uit op ongeveer $205.000 USDT plus 36 BNB. Bij huidige prijzen voegt dat BNB-deel nog eens ongeveer $22.600 toe. De transactie is vastgelegd op BSCScan.
De JUDAO-token staat niet genoteerd op CoinGecko. Marktkapitalisatie blijft onbekend.
De configuratie was de exploit
Geen van beide aanvallen gebruikte een nieuwe techniek. Geen bridge, geen governance-manipulatie, niets exotisch. Een typfout in een kostenlaag. Een tokenomics-ontwerp dat zijn eigen liquiditeitspool straft.
De Moonwell-zaak op Base eerder dit jaar volgde een vergelijkbaar pad, een oracle-formulefout die onopgemerkt bleef tot een verlies van $1,78 miljoen het zichtbaar maakte. Configuraties breken stilletjes. Exploits kondigen zichzelf aan.
Het Singularity_Fi oracle-contractadres is openbaar zichtbaar. De slachtofferkluis bevindt zich op een apart adres op Base. Het JUDAO LP-paarsadres op BNB Chain is ook on-chain.
DefimonAlerts merkte op dat het Singularity_Fi-rapport voorlopig is. Een formele post-mortem van het protocol is nog in behandeling.
Geef een reactie