Kryptolehti.fi Oppaat
Ladataan markkinadataa…
Tutkimus: osa DeFi-pooleista huijaa reitittäjää näyttämällä väärää hintaa

Tutkimus: osa DeFi-pooleista huijaa reitittäjää näyttämällä väärää hintaa

16. heinäkuuta 2026 klo 16.48 Markkinat Lasse Braden
Lue tiivistelmä

Tietoturvatutkimus kuvaa uuden hyökkäystavan, jossa likviditeettipooli näyttää lompakolle tarkan hinnan simulaatiossa mutta toteuttaa huonomman kaupan ketjussa. Kahdessa dokumentoidussa tapauksessa huijaus kohdistui itse hintanoteeraukseen, ei tuttuun liukumaan tai MEV:hen.

Kun hajautetun rahoituksen (DeFi) käyttäjä vaihtaa yhtä tokenia toiseen, hän luottaa siihen, että lompakon näyttämä hinta pitää. Uusi tietoturvatutkimus kertoo, että aina näin ei käy.

Ketjunkehitysyhtiö Enso julkaisi torstaina selvityksen "myrkyllisistä pooleista" – likviditeettipooleista, jotka palauttavat houkuttelevan ja tarkan hinnan, kun lompakko tai aggregaattori simuloi vaihdon. Ketjuun louhittuna sama kauppa toteutuu selvästi huonommin. Toisin kuin liukumassa tai MEV-hyökkäyksessä, harha kohdistuu itse hintanoteeraukseen.

Simulaatiopohjainen reititys

Useimmat lompakot ja reitittimet valitsevat kaupalle parhaan reitin simuloimalla vaihdon ensin. Myrkyllinen pooli pelaa juuri tätä vaihetta. Se voittaa reitityksen näyttämällä parhaan hinnan ja käyttäytyy sitten toisin, kun kauppa varmistuu ketjuun.

– Ala on optimoinut hinnanmuodostusta vuosia. Havaintojemme perusteella seuraava haaste on todentaa toteutuksen eheys, sanoo Enson perustaja ja tuotejohtaja Milos Costantini.

Ajatus toimii, koska valtaosa vaihdoista reititetään automaattisesti. Käyttäjä hyväksyy lompakon ehdottaman reitin harvoin sen tarkemmin, joten muutaman peruspisteen ero jää melko helposti huomaamatta. Juuri tästä hiljaisuudesta myrkyllinen pooli hyötyy, sillä yksittäinen huono kauppa ei herätä epäilyksiä.

Unchained uutisoi Enson selvityksestä torstaina. Enso dokumentoi kaksi tapausta. Ethereumissa manipuloitu Curve-pooli käsitteli yli 129 000 vaihtoa noteerausta huonommilla kursseilla.

Costantinin yhtiö arvioi, että noteeraukset olivat noin 225 000 dollaria liian korkeita ja että epäonnistuneisiin tapahtumiin paloi noin 30 000 dollaria kaasumaksuja. Polygonissa Uniswap v4:n hook taas epäonnistui 99,1 prosentissa tapauksista. Se houkutteli reitittimiä yhä uudelleen ja perui sitten kaupan.

Rahaa hyökkääjä kotiutti molemmista pooleista yhteensä noin 34 600 dollaria.

Molemmat poolit ovat sittemmin hiljentyneet. Polygonin pooli suljettiin toukokuussa, ja Curve-pooli pysyi aktiivisena kesäkuun loppupuolelle asti.

Sama toimija otti kuitenkin käyttöön muitakin sopimuksia, ja Ethereumin pooli vaihteli rehellisen ja manipuloidun käytöksen välillä. Yksittäinen tarkistus ei siis olisi napannut sitä kiinni.

Onko selvitys pyyteetön? Ei aivan. Enso myy Enso Shield -nimistä tuotetta, joka on rakennettu havaitsemaan juuri tällaista manipulointia.

Yhtiö kertoo auttaneensa selvittämään yli 15 miljardia dollaria ketjunsisäisiä maksuja ja tehneensä yhteistyötä Curven ja Okun yhteyshenkilöiden kanssa. Kaupallinen intressi kannattaa siis pitää mielessä.

Löydös kääntää huomion tuttuun sokeaan pisteeseen. DeFi:ssä on opittu varomaan liukumaa ja arvonkatoa, mutta harvemmin sitä, että hintalappu itse valehtelee.

Suomalaisen DeFi-käyttäjän kannattaa varsinkin isoissa vaihdoissa verrata toteutunutta kurssia lompakon lupaamaan simulaatiohintaan. Oppivatko reitittimet tarkistamaan toteutuksen pelkän noteerauksen sijaan, jää nähtäväksi.

LB
Lasse Braden

Päätoimittaja

Kryptolehti.fi:n päätoimittaja ja kryptovaluutta-analyytikko.

Lisää Kryptolehti suosikkilähteeksi Googlessa

Vaatii Google-tilille kirjautumisen.

Aiheeseen liittyvät oppaat

Lue myös