Especialistas revelaram detalhes do ataque ao Venus com manipulação de oráculo

Vulnerabilidades em armazenamentos levaram a perdas de protocolos DeFi devido a manipulação de oráculos. A Chaos Labs apresentou uma análise do ataque ao Venus Protocol com um prejuízo de ~$716 000.

No dia 27 de fevereiro, um atacante realizou um ataque de donation com base em um empréstimo instantâneo, pegando cerca de $4 milhões emprestados da Aave. Ele usou o token de armazenamento ERC-4626 para o stablecoin rentável envolto Mountain Protocol, wUSDM, artificialmente elevando sua taxa interna.

O criminoso aumentou o preço do wUSDM de $1,06 para $1,7, utilizando depois duas contas para autoliquidação na plataforma de crédito Venus Protocol.

Apesar da rápida resposta do protocolo, o atacante obteve um lucro de cerca de $200 000, enquanto a Venus sofreu perdas de mais de $716 000, de acordo com a Chaos Labs.

«Ambas as equipes tomaram medidas de emergência — congelaram os mercados, ajustaram os parâmetros de risco e derrubaram o preço», — disse ao The Block o chefe de DeFi na Lightblocks Labs, Yoni Keselbrener.

O armazenamento atacado implementa o padrão ERC-4626, apresentado em maio de 2022, que não inclui proteções contra manipulações nas taxas de câmbio.

De acordo com as conclusões da Euler Finance, na maioria dos casos semelhantes não há verificações explícitas de vulnerabilidades. Na Chaos Labs, foi reconhecido que as estratégias de segurança podem prevenir danos.

«Os contratos wUSDM podem utilizar um oráculo de taxa de câmbio cross-chain ou na Venus considerar a implementação de certas medidas para conter o aumento das cotações. Para todos os ativos geradores de rendimento, será implementado um oráculo com um teto de preços, como o CAPO na Aave, prevenindo manipulações através de saltos artificiais», — diz a análise.

Com esse ponto de vista, concordaram na Curve Finance.

«Isto diz respeito a qualquer armazenamento, não apenas ao padronizado. Um erro comum das plataformas de crédito», — indicaram os representantes da DEX.

Kesselbrener destacou que o padrão CAPO é eficaz, mas requer "um adicional de complexidade no código e gestão constante".

«À medida que o DeFi se desenvolve, precisamos pensar não apenas na simples transferência de valor, mas também na compreensão do perfil de risco dos ativos. A necessidade de uma infraestrutura de oráculos cross-chain é um nível adicional de segurança. Fornecedores especializados podem implementar medidas de proteção projetadas para detectar e prevenir manipulações», — concluiu ele.

Anteriormente, o projeto Pyth Network apresentou um novo oráculo on-chain Lazer, que é capaz de fornecer dados de mercado com um tempo de atualização de apenas 1 milissegundo.

Recordamos que, em março, o mercado de previsões na plataforma Polymarket chegou a uma resolução errada de disputa como resultado de manipulações com o oráculo.