Nawalan ang Yield, isang decentralized finance (DeFi) protocol, ng $3.73 milyon sa isang trade. Ito ay resulta ng matinding slippage, na nagdulot ng 3.84 milyong GHO na napalitan ng 112,000 USDC lamang.
Ayon sa Peckshield, ang transaksyon ay kinasasangkutan ng anim na magkakaibang token at gumamit ng dalawang DeFi platform, kabilang ang Uniswap V4 at Bancor. Ilang internal na paglipat ng ETH ang isinagawa upang mapadali ang swap, kabilang ang mga paglipat mula sa mga Uniswap pool papunta sa wrapped Ether contracts, pati na rin sa mga Bancor swap at converter address.
Ang slippage at kakulangan ng liquidity ay nagdulot ng milyon-milyong pagkalugi
Ang pangunahing transaksyon ay nagpadala ng 3,840,651 stkGHO mula sa Uniswap pool. Pagkatapos nito, mas maliliit na halaga ng parehong stkGHO at GHO token ang nailipat sa iba't ibang liquidity pools at converter.
#PeckShield Yield (@yield) ay nakaranas ng malaking pagkawala ng pera na umaabot sa ~$3.73M.
Naganap ang pagkalugi sa isang Vault operation na kinabibilangan ng swap mula $stkGHO papuntang $USDC; dahil sa matinding slippage, 3.84M $GHO ang napalitan ng 112K lamang na $USDC. pic.twitter.com/jB5c1Zjm6m
— PeckShield (@PeckShield) Enero 13, 2026
Ang pinakamalaking paglipat ng ETH ay 24.99 ETH, na nagkakahalaga ng humigit-kumulang $78,368 mula sa isang Uniswap V4 pool. Mayroon ding mas maliliit na paglipat, mula sa fractions ng isang ETH hanggang ilang ETH. Ang mga ito ay ginamit para sa pribadong settlement sa pagitan ng mga liquidity pool at swap aggregator. Ilang transaksyon ng ERC-20 token ay naganap din.
Ang maliliit na paglipat ng mga token, kabilang ang 11,127 stkGHO, na nagkakahalaga ng humigit-kumulang $11,118, at 2,707 stkGHO, na nagkakahalaga ng $2,705, ay nag-ambag sa kabuuang transaksyon, ngunit hindi ito gaanong nakaapekto sa kabuuang pagkalugi.
Ang transaksyon ay agad na naaprubahan on-chain, na may higit sa 7,200 block confirmations na naitala. Ang bayad sa gas ay umabot lamang sa $1.03, na nagpapakita na ang pagkalugi ay hindi dahil sa transaction costs kundi dulot ng slippage at liquidity issues.
Ang Yield ay kumikilos bilang isang vault layer na nagpapadala ng pera sa dose-dosenang DeFi venues gamit ang “risk-adjusted optimization.” Ngunit ang slippage ay isa sa pinakamatagal na problema sa DeFi. Kung hindi gumagana ang mga kontrol, ang mga limitasyon, routing, liquidity check, at “optimization” ay maaaring maging parang donasyon na lang.
Ang mga user na may assets na naka-deposito sa apektadong vault ay maaaring makaranas ng pagbaba ng balanse, bagaman hindi pa isinasapubliko ang lawak ng indibidwal na epekto. Ang tugon ng protocol at anumang corrective measures, gaya ng pagsasaayos ng slippage limit o trade sizing parameters, ay nananatiling nakabinbin.
Dumarami ang mga insidente ng DeFi slippage at manipulasyon
Kabilang sa mga naunang insidente sa DeFi ang mas maliliit na pagkalugi dahil sa slippage sa mga protocol gaya ng Yearn Finance, na nagdulot ng pagkawala ng humigit-kumulang 63% ng LP value. Umabot sa $1.4 milyon ang kabuuang pagkalugi bago ang anumang naibalik na pondo, o halos 2% ng buong treasury.
Bukod sa slippage, labis ding vulnerable ang mga platform na ito sa mga atake. Noong nakaraang buwan, hinarap ng YearnFinanceV1 ang isang hack na nagresulta sa pagkawala ng humigit-kumulang $300,000. Ang mga nakaw na pondo ay na-swap papuntang 103 Ether at kasalukuyang nasa address na 0x0F21…4066, ayon sa Etherscan images na ibinahagi ng kumpanya. Natuklasan ni Researcher Li na ang exploit ay katulad ng isang atake noong 2023, na nagdulot ng pagkalugi na lampas $10 milyon.
Kasabay nito, iniulat din ng Cryptopolitan ang $2.7 milyon na pagkawala mula sa isang lumang contract na pag-aari ng Ribbon Finance, ang bagong pangalan ng Aevo. Kinasasangkutan ang atake ng paulit-ulit na pakikipag-ugnayan sa isang proxy admin contract sa address na 0x9D7b…8ae6B76. Tinawag ng attacker ang mga function gaya ng transferOwnership at setImplementation upang manipulahin ang price-feed proxies gamit ang delegate calls.
Kamakailan ay nakaranas din ang Hyperliquid vault ng halos $5 milyon na pagkalugi sa isang POPCAT manipulation attack. Hinati ng isang trader ang mga posisyon sa maraming wallet, ginalaw ang market, at hinayaang bumalik ito sa dati, na nagdulot ng $4.9 milyon na pagkalugi sa vault ng liquidity ng platform nang bumagsak ang trade.
