Para ahli mengungkap rincian serangan terhadap Venus dengan manipulasi oracle

Kerentanan di penyimpanan menyebabkan kerugian pada protokol DeFi akibat manipulasi oracle. Di Chaos Labs, analisis serangan terhadap Venus Protocol dengan kerugian sekitar ~$716 000 telah diperkenalkan.

Pada 27 Februari, penyerang melakukan serangan donasi berdasarkan pinjaman instan, meminjam sekitar $4 juta dari Aave. Ia menggunakan token penyimpanan ERC-4626 untuk stablecoin berpendapatan dibungkus Mountain Protocol, wUSDM, dengan secara artifisial meningkatkan nilai internalnya.

Penjahat menaikkan harga wUSDM dari $1,06 menjadi $1,7, selanjutnya menggunakan dua akun untuk likuidasi diri di platform kredit Venus Protocol.

Meskipun protokol merespons dengan cepat, penyerang mendapatkan keuntungan sekitar $200.000, sementara Venus mengalami kerugian lebih dari $716.000, menurut Chaos Labs.

«Kedua tim mengambil langkah darurat — membekukan pasar, menyesuaikan parameter risiko, dan menjatuhkan harga», — kata The Block kepala DeFi di Lightblocks Labs, Yoni Kesselbrener.

Diperangi penyimpanan mengimplementasikan standar ERC-4626, yang diperkenalkan pada Mei 2022, yang tidak menyertakan perlindungan terhadap manipulasi kurs.

Menurut temuan Euler Finance, sebagian besar kasus serupa tidak memiliki pemeriksaan kerentanan yang jelas. Di Chaos Labs diakui bahwa strategi keamanan dapat mencegah kerugian.

«Kontrak wUSDM dapat menggunakan oracle lintas rantai untuk kurs atau di Venus mempertimbangkan implementasi langkah-langkah tertentu untuk menahan pertumbuhan kutipan. Untuk semua aset yang menghasilkan pendapatan, akan diterapkan oracle dengan batas harga seperti CAPO di Aave, yang mencegah manipulasi melalui lonjakan buatan», — kata tinjauan.

Dengan pandangan seperti itu, Curve Finance setuju.

«Ini berlaku untuk semua penyimpanan, tidak hanya yang distandarisasi. Kesalahan umum dari platform kredit», — kata perwakilan DEX.

Kesselbrener mencatat bahwa standar CAPO efektif, tetapi memerlukan "kompleksitas kode tambahan dan pengelolaan yang konstan."

«Seiring dengan perkembangan DeFi, kita perlu berpikir tidak hanya tentang transfer nilai yang sederhana, tetapi juga tentang pemahaman profil risiko aset. Kebutuhan akan infrastruktur oracle lintas rantai — tingkat keamanan tambahan. Penyedia khusus dapat menerapkan langkah-langkah perlindungan yang dirancang untuk mendeteksi dan mencegah manipulasi», — ia menyimpulkan.

Sebelumnya, proyek Pyth Network memperkenalkan orakel on-chain baru bernama Lazer, yang mampu menyediakan data pasar dengan waktu pembaruan hanya 1 milidetik.

Perlu diingat, pada bulan Maret pasar prediksi di platform Polymarket mencapai resolusi sengketa yang salah akibat manipulasi dengan oracle.