Yala 脱锚的真相:精心策划的金蝉脱壳
按照公告的说法,黑客盗取了764万USDC,团队注入了550 万美元自有资金,并通过 Euler 平台获取了额外的流动性。按照这个方式计算,通过Euler获取的额外流动性约214万美金。
这里出现了第一个疑点:YU是通过抵押YBTC来铸造,通过Euler获取214万美元意味着协议在Euler抵押了超过214万美元的YU,其背后至少有超过300万美元的BTC作为抵押?
如果这300万美元BTC属于YALA团队,那为什么不直接将BTC兑换成U,而是支付高额的利率从Euler贷款?
我能想到的情况有两种:①YALA用于Euler抵押的YU没有足额的YBTC。②这部分YBTC对应的BTC,实际控制权并不属于YALA(例如某种抽屉协议)。
公告还提到,部分资产在恢复交易前已兑换成以太坊,但随后的价格下跌,加上攻击者投入的资金,导致实际恢复价值降低。
这里出现了第二个疑点:按照ETH 3000U的价格计算,被黑客盗取资金可追回部分大概是490万美元左右,也就是追回资金 + 自有的550万美元>764万美元亏空。在这种情况下,项目方为什么没有办法以其他形式获得214万美元的融资或者过桥贷款?毕竟在追回资金后项目方是有偿付能力的。
我能想到的情况有三种:①项目方并没有恢复的计划,追回资金也将优先偿还自有资金。②项目的融资信用已经无法让他们获得额外的资金,或者其他方面损失远高于214万美元。
接下来进一步追查YBTC的数据,可以发现99%的YBTC由3个地址控制,这也意味着99%的YU被这四个地址控制,暂且先将他们命名为地址A-地址C
接下来我们逐个分析每个地址的行为:
地址A:铸造3935万YU,偿还1700万YU,净负债约2200万YU,地址余额240万YU。
地址B:铸造4357万YU,偿还1000万YU,净负债3357万YU,地址余额277万YU。地址B的大部分YU(约3015w)流入了合约0x9593807414,该地址是Yala的Stability Pool,当前Stability Pool显示的存款总额为3280万YU。这意味着地址B也是完全正常的。
地址C:累计铸造3250万YU,累计偿还3330万YU,并且已经销毁了YBTC,取回BTC。一切交易行为都是正常的。
2/
很显然,问题出在地址A,让我们继续追查。地址A的交易非常复杂,但总的来说,该地址净铸造了2800万YU,并通过其他地址获得了额外的YU,这些YU中的绝大部分已经流出到各种协议里。
从Dabank我们可以看到其他更有意思的数据,这个地址抵押了大量YU和PT,从Euler共借走了493万美元的USDT和USDC。很显然,这三笔贷款在YU跌至0.15美元以后已经实质性违约。
这个地址在12天前,使用了少量U购买YALA,以及向Euler部分还款。
考虑到团队提到“注入了550万美元”,并通过 Euler 平台获取了额外的流动性。这个地址很有可能就是团队的操作地址,并且我们现在知道,团队从Euler获取了大约490万美元的流动性。
3/
这里是一个分割线,以上是客观的数据和事实,接下来的内容是我的猜测,不一定准确。
(1)YALA通过某种方式获得了大约500个非法的YBTC(这意味着YALA对其对应的500BTC没有实质性的控制权),并用这500个YBTC铸造了2800万个YU(我们暂且把它称为非法YU),这些非法YU在过去可能用于其他目的,比如获取空投、提供DEX流动性、存入Pendle,但这并不重要。
我认为这500个YBTC非法的理由很简单,如果你拥有5000万美元可供自有处置的BTC,你不会为了764万美元的资金需求去承担高利率贷款。
(2)在黑客盗取了764万USDC之后,YALA使用一部分非法YU从Euler获得了约490万美元贷款,同时也提供了部分自有资金,试图让协议重回正轨。这里的一个问题在于协议声称的550万美元自有资金+490万美元非法贷款合计超过了764万美金资金缺口,潜在的可能性也有很多,比如550万美金的数值被夸大、Euler贷款的一部分被返还给550万美金的提供者。
(3)黑客被捕后,由于一些因素,可收回的资金远低于764万美金,例如之前提到了490万美元(考虑处置流程,真正的可收回资金更低)。这种情况下,YALA协议仍将承担超过270万美元的损失。
这种情况下,地址A选择了违约,将损失转嫁到了Euler上,但代价是YALA协议破产并停止运营。
(4)始作俑者是谁?之前提到,超过99%的YALA和YU都由三个地址(再加一个bfBTC存款者),其中地址B、地址C并没有任何YU的净流入和净流出,他们与整个事情无关。BTC存款人也不会有损失,他们只需要偿还YU并取回自己的BTC。
损失者是YU以及其衍生资产的持有者、Euler的存款人。而这些钱流向了地址A,最终受益者是YALA团队,他们将损失转嫁给了用户,甚至于如果团队私吞司法处置的490万美元,他们还能从中赚上一笔。当然,以上一切都建立在猜测成立,也就是地址A归属于YALA Team的基础上。
3/
这里是一个分割线,以上是客观的数据和事实,接下来的内容是我的猜测,不一定准确。
(1)YALA通过某种方式获得了大约500个非法的YBTC(这意味着YALA对其对应的500BTC没有实质性的控制权),并用这500个YBTC铸造了2800万个YU(我们暂且把它称为非法YU)。
这些非法YU在过去可能用于其他目的,比如获取空投、提供DEX流动性、存入Pendle,但这并不重要。
我认为这500个YBTC非法的理由很简单,如果你拥有5000万美元可供自有处置的BTC,你不会为了764万美元的资金需求去承担高利率贷款。
(2)在黑客盗取了764万USDC之后,YALA使用一部分非法YU从Euler获得了约490万美元贷款,同时也提供了部分自有资金,试图让协议重回正轨。
这里的一个问题在于协议声称的550万美元自有资金+490万美元非法贷款合计超过了764万美金资金缺口,潜在的可能性也有很多,比如550万美金的数值被夸大、Euler贷款的一部分被返还给550万美金的提供者。
(3)黑客被捕后,由于一些因素,可收回的资金远低于764万美金,例如之前提到了490万美元(考虑处置流程,真正的可收回资金更低)。这种情况下,YALA协议仍将承担超过270万美元的损失。
这种情况下,地址A选择了违约,将损失转嫁到了Euler上,但代价是YALA协议破产并停止运营。
(4)始作俑者是谁?之前提到,超过99%的YALA和YU都由三个地址(再加一个bfBTC存款者),其中地址B、地址C并没有任何YU的净流入和净流出,他们与整个事情无关。
BTC存款人也不会有损失,他们只需要偿还YU并取回自己的BTC。 损失者是YU以及其衍生资产的持有者、Euler的存款人。
而这些钱流向了地址A,最终受益者是YALA团队,他们将损失转嫁给了用户,甚至于如果团队私吞司法处置的490万美元,他们还能从中赚上一笔。当然,以上一切都建立在猜测成立,也就是地址A归属于YALA Team的基础上。
21.35K
40
The content on this page is provided by third parties. Unless otherwise stated, OKX is not the author of the cited article(s) and does not claim any copyright in the materials. The content is provided for informational purposes only and does not represent the views of OKX. It is not intended to be an endorsement of any kind and should not be considered investment advice or a solicitation to buy or sell digital assets. To the extent generative AI is utilized to provide summaries or other information, such AI generated content may be inaccurate or inconsistent. Please read the linked article for more details and information. OKX is not responsible for content hosted on third party sites. Digital asset holdings, including stablecoins and NFTs, involve a high degree of risk and can fluctuate greatly. You should carefully consider whether trading or holding digital assets is suitable for you in light of your financial condition.