Des experts ont révélé des détails sur l'attaque contre Venus impliquant la manipulation de l'oracle.

Les vulnérabilités dans les entrepôts ont entraîné des pertes pour les protocoles DeFi en raison de la manipulation des oracles. Chaos Labs a présenté une analyse de l'attaque sur le Venus Protocol avec des dommages d'environ ~$716 000.

Le 27 février, un cybercriminel a mené une attaque par donation basée sur un prêt instantané, empruntant environ 4 millions de dollars à Aave. Il a utilisé le token de stockage ERC-4626 pour le stablecoin de rendement enveloppé Mountain Protocol, wUSDM, en gonflant artificiellement son taux interne.

Un hacker a fait monter le prix de wUSDM de 1,06 $ à 1,7 $, utilisant ensuite deux comptes pour une liquidation automatique sur la plateforme de crédit Venus Protocol.

Malgré la réponse rapide du protocole, l’attaquant a réalisé un bénéfice d’environ 200 000 dollars, tandis que Venus a subi une perte de plus de 716 000 dollars, selon Chaos Labs.

«Les deux équipes ont pris des mesures d'urgence - elles ont gelé les marchés, ajusté les paramètres de risque et réduit le prix», a déclaré à The Block le responsable DeFi chez Lightblocks Labs, Yoni Kesselbrener.

Le stockage attaqué met en œuvre la norme ERC-4626, présentée en mai 2022, qui n'inclut pas de mesures de protection contre la manipulation des taux de change.

Selon les conclusions d'Euler Finance, dans la plupart des cas similaires, il n'y a pas de vérifications explicites des vulnérabilités. Chez Chaos Labs, ils ont reconnu que les stratégies de sécurité peuvent prévenir les dommages.

«Les contrats wUSDM peuvent utiliser un oracle cross-chain du taux de change ou envisager dans Venus la mise en œuvre de certaines mesures pour contenir la hausse des cotations. Pour tous les actifs générateurs de revenus, un oracle avec un plafond de prix similaire à CAPO dans Aave sera mis en place, empêchant les manipulations par des sauts artificiels», indique l'examen.

Cette opinion a été partagée par Curve Finance.

«Cela concerne tout type de stockage, pas seulement les standardisés. C'est une erreur courante des plateformes de crédit», ont déclaré les représentants de DEX.

Kesselbrener a souligné que la norme CAPO est efficace, mais nécessite « une complexité supplémentaire du code et une gestion constante ».

«Au fur et à mesure que DeFi évolue, nous devons penser non seulement au simple transfert de valeur, mais aussi à la compréhension du profil de risque des actifs. La nécessité d'une infrastructure cross-chain d'oracles représente un niveau de sécurité supplémentaire. Les fournisseurs spécialisés peuvent mettre en œuvre des mesures de protection conçues pour détecter et prévenir les manipulations», a-t-il conclu.

Précédemment, le projet Pyth Network a présenté un nouvel oracle on-chain appelé Lazer, capable de fournir des données de marché avec un temps de mise à jour de seulement 1 milliseconde.

Rappelons qu'en mars, le marché des prédictions sur la plateforme Polymarket a abouti à une résolution erronée du litige en raison de manipulations avec l'oracle.