専門家は、オラクルを操作したVenusへの攻撃の詳細を明らかにしました。

ストレージの脆弱性により、オラクルの操作によるDeFiプロトコルの損失が発生しました。Chaos Labsは、約$716,000の損害を伴うVenus Protocolへの攻撃の分析を発表しました。

2月27日、攻撃者はAaveから約400万ドルを借りて、即時貸付に基づく寄付攻撃を実行しました。彼は、山岳プロトコルのラップド収益安定コインであるwUSDMのためにERC-4626ストレージトークンを使用し、その内部レートを人工的に引き上げました。

攻撃者はwUSDMの価格を1.06ドルから1.7ドルに膨らませ、2つのアカウントを使用してVenus Protocolレンディングプラットフォームで自己清算しました。

プロトコルの迅速な対応にもかかわらず、攻撃者は約$200,000の利益を得て、Venusは$716,000以上の損失を被ったとChaos Labsは報告しています。

「両チームは緊急措置を講じました — 市場を凍結し、リスクパラメータを調整し、価格を下げました」と、Lightblocks LabsのDeFi責任者ヨニ・ケセルブレイナーはThe Blockに語った。

攻撃されたストレージは、2022年5月に導入されたERC-4626標準を実装しており、為替レートの操作からの保護手段は含まれていません。

Euler Financeの結論によれば、ほとんどの場合、脆弱性の明示的なチェックは用意されていません。Chaos Labsは、セキュリティ戦略が損害を防ぐことができると認めました。

「wUSDM契約は、クロスチェーンの為替レートオラクルを使用するか、Venusで価格の上昇を抑制するための特定の措置の実施を検討することができます。すべての収益をもたらす資産には、AaveのCAPOのような価格上限オラクルが導入され、人工的な急騰による操作を防ぎます。」 — レビューに記載されています。

Curve Financeではこのような見解に同意しました。

「これは標準化されたものだけでなく、あらゆるストレージに関係しています。クレジットプラットフォームの一般的な間違いです。」 — DEXの代表者が述べました。

ケセルブレナーは、CAPO標準が効果的であるが、「コードのさらなる複雑化と継続的な管理が必要である」と指摘した。

「DeFiが発展するにつれて、私たちは単なる価値の移転だけでなく、資産のリスクプロファイルを理解することも考える必要があります。クロスチェーンオラクルインフラストラクチャの必要性は、追加のセキュリティレベルです。専門のプロバイダーは、操作を検出し防止するために設計された保護措置を実装できます。」 — 彼は締めくくった。

以前、Pyth Networkプロジェクトは、更新時間がわずか1ミリ秒で市場データを提供できる新しいオンチェーンオラクルLazerを発表しました。

思い出させるために、3月にPolymarketプラットフォームの予測市場は、オラクルの操作の結果として誤った紛争の解決に至りました。