Attacchi donation stanno mettendo in ginocchio i protocolli di prestito ispirati a Compound, con il caso del Venus Protocol che emerge come l’exploit emblematico nel mondo DeFi.
Questi attacchi sfruttano una vulnerabilità critica: gli aggressori inviano token direttamente ai contratti smart, aggirando le interfacce ufficiali del protocollo. Invece di usare funzioni come deposit o withdraw, i malintenzionati manipolano lo stato del contratto gonfiando artificialmente i bilanci, come nel meccanismo ERC4626 Share Inflation. Qui, un deposito minimo iniziale permette di alterare il rapporto tra azioni e asset, rubando fondi ai depositanti successivi.[1]
Nel Venus Protocol, fork di Compound su Binance Smart Chain, l’exploit ha colpito duramente: l’attaccante ha donato token per forzare distribuzioni sleali, prosciugando liquidità e causando perdite milionarie. Simili tattiche sono apparse in Wise Lending, dove depositi minuscoli e donazioni stealth hanno bypassato limiti e rounding errors, e in Euler Finance con funzioni donate non protette adeguatamente.[2][3]
La lezione per i protocolli DeFi è chiara: affidarsi a balanceOf esterni invece di contabilità interna espone a rischi devastanti. Soluzioni come comptroller in Compound o debt token in Aave dimostrano vie per mitigare, ma molti fork trascurano queste difese, aprendo la porta a furti sofisticati.[3][5]
Esperti avvertono che questi donation attacks colpiscono i lending protocol più vulnerabili, urging sviluppatori a implementare check rigorosi su trasferimenti diretti per proteggere utenti e fondi nel panorama blockchain in evoluzione.