Yield, un protocollo di finanza decentralizzata (DeFi), ha subito una perdita di 3,73 milioni di dollari nelle operazioni di trading. Questo è stato il risultato di uno slippage estremo, che ha portato allo scambio di 3,84 milioni di GHO per soli 112.000 USDC.
Secondo Peckshield, la transazione ha coinvolto sei token diversi e ha utilizzato due piattaforme DeFi, tra cui Uniswap V4 e Bancor. Sono stati eseguiti diversi trasferimenti interni di ETH per facilitare lo swap, inclusi trasferimenti da pool Uniswap a contratti wrapped Ether, oltre a indirizzi di swap e convertitore Bancor.
Slippage e difficoltà di liquidità causano perdite per milioni
La transazione principale ha inviato 3.840.651 stkGHO dal pool Uniswap. Successivamente, quantità minori sia di token stkGHO sia di GHO sono state trasferite attraverso vari pool di liquidità e convertitori.
#PeckShield Yield (@yield) ha subito una grave perdita finanziaria per un totale di circa 3,73 milioni di dollari.
La perdita si è verificata durante un'operazione di Vault che ha coinvolto uno swap da $stkGHO a $USDC; a causa di uno slippage estremo, 3,84M di $GHO sono stati scambiati per soli 112K $USDC. pic.twitter.com/jB5c1Zjm6m
— PeckShield (@PeckShield) 13 gennaio 2026
Il trasferimento di ETH più consistente è stato di 24,99 ETH, per un valore di circa 78.368 dollari, da un pool Uniswap V4. Sono stati osservati anche trasferimenti di entità inferiore, da frazioni di ETH a diversi ETH. Questi sono stati utilizzati per la regolazione privata tra pool di liquidità e aggregatori di swap. Sono avvenute anche diverse transazioni di token ERC-20.
Piccoli trasferimenti di token, inclusi 11.127 stkGHO, per un valore di circa 11.118 dollari, e 2.707 stkGHO, per 2.705 dollari, hanno contribuito alla transazione complessiva, ma non hanno avuto un impatto rilevante sulla perdita totale.
La transazione è stata rapidamente approvata on-chain, con oltre 7.200 conferme di blocco registrate. La commissione di gas è stata di soli 1,03 dollari, a testimonianza del fatto che la perdita non è stata dovuta ai costi di transazione ma interamente dovuta a problemi di slippage e liquidità.
Yield agisce come un layer vault che invia fondi a dozzine di piattaforme DeFi con “ottimizzazione aggiustata per il rischio”. Tuttavia, lo slippage è il trucco più vecchio della DeFi. Se i controlli non funzionano, limitazioni, routing, controlli di liquidità e “ottimizzazione” possono diventare tutte delle donazioni.
Gli utenti i cui asset sono depositati nel vault interessato potrebbero riscontrare saldi ridotti, sebbene l'entità dell'impatto individuale non sia stata divulgata. La risposta del protocollo e le eventuali misure correttive, come regolazioni dei limiti di slippage o dei parametri di dimensionamento delle operazioni, restano in attesa.
Aumentano gli incidenti di slippage e manipolazione nella DeFi
Precedenti incidenti DeFi includono perdite minori legate allo slippage in protocolli come Yearn Finance, che hanno comportato la perdita di circa il 63% del valore degli LP. Le perdite totali ammontavano a 1,4 milioni di dollari prima dell’eventuale restituzione dei fondi, ovvero circa il 2% dell'intero tesoro.
Oltre allo slippage, queste piattaforme sono molto vulnerabili agli attacchi. Il mese scorso, YearnFinanceV1 ha subito un attacco che ha comportato perdite di circa 300.000 dollari. I fondi rubati sono stati convertiti in 103 Ether e ora si trovano all’indirizzo 0x0F21…4066, secondo le immagini di Etherscan condivise dalla società. Il ricercatore Li ha riscontrato che l’exploit era simile a un attacco avvenuto nel 2023, che aveva causato perdite superiori a 10 milioni di dollari.
Allo stesso tempo, Cryptopolitan ha riportato un drenaggio di 2,7 milioni di dollari da un vecchio contratto appartenente a Ribbon Finance, la versione rebrandizzata di Aevo. Quell’attacco ha coinvolto interazioni ripetute con un contratto proxy admin all’indirizzo 0x9D7b…8ae6B76. L’attaccante ha invocato funzioni come transferOwnership e setImplementation per manipolare i proxy dei price-feed tramite delegate call.
Anche Hyperliquid vault ha recentemente subito una perdita di quasi 5 milioni di dollari a causa di un attacco di manipolazione POPCAT. Un trader ha suddiviso le posizioni su più wallet, ha manipolato il mercato e poi ha lasciato che si ripristinasse, lasciando il vault di liquidità della piattaforma a subire 4,9 milioni di dollari di perdite quando l’operazione si è svelata.
