Realmente um time amador. Ontem, o token mais quente do ETH, $LO0P, atingiu um pico de 6,5 milhões; hoje, foi esvaziado e despencou para 1,2 milhões. Um usuário comprou no pool de USDC para empurrar o preço do $LO0P para cima e, em seguida, vendeu massivamente $LOOP no pool principal, desencadeando liquidações. Após as liquidações, o preço do $LOOP caiu drasticamente, permitindo que o atacante recomprasse o token a preços baixos para quitar suas dívidas e lucrasse com a diferença. Ganhou 3,4 milhões. Embora o lucro não seja tão alto e não envolva nenhuma vulnerabilidade de hacking — o contrato foi projetado exatamente assim — qualquer um pode explorar isso. Após analisar com cuidado, percebi que o protocolo de empréstimo do LOOP foi projetado de forma bastante rudimentar. O oráculo usa diretamente o preço spot atual do Uniswap V4, o limite de liquidação é muito baixo (LTV de apenas 40%) e não há proteção contra slippage. Basta que o atacante venda massivamente $LOOP no pool para derrubar o preço abaixo da linha de liquidação, forçar a venda de todos os ativos colaterais dos mutuários e transformar o sistema em um caixa eletrônico.