Uzmanlar, Venus'a yönelik oracle manipülasyonu ile yapılan saldırının detaylarını açıkladı.

Depolama zafiyetleri, oracle manipülasyonları nedeniyle DeFi protokollerinin kayıplarına yol açtı. Chaos Labs, Venus Protocol'e yönelik saldırının ~$716 000 zarar ile analizini sundu.

27 Şubat'ta bir saldırgan, Aave'den yaklaşık 4 milyon $ borç alarak anlık borçlanma temelinde bir donation attack gerçekleştirdi. Dağ Protokolü'nün wUSDM adındaki sarmalanmış gelirli stabilcoin'i için ERC-4626 depolama token'ını kullanarak iç fiyatını yapay olarak yükseltti.

Kötü niyetli kişi wUSDM fiyatını $1,06'dan $1,7'ye yükseltti ve ardından Venus Protocol kredi platformunda kendi kendini likidite etmek için iki hesap kullandı.

Protokolün hızlı yanıt vermesine rağmen, saldırgan yaklaşık $200 000 kâr elde etti ve Venus $716 000'den fazla zarar etti, Chaos Labs'a göre.

«Her iki ekip de acil önlemler aldı — piyasaları dondurdu, risk parametrelerini düzeltti ve fiyatı düşürdü», — The Block'a DeFi'den Lightblocks Labs'tan Yoni Keselbrener anlattı.

Saldırıya uğrayan depo, Mayıs 2022'de tanıtılan ERC-4626 standartını uygulamaktadır ve döviz kuru manipülasyonuna karşı herhangi bir koruma sağlamamaktadır.

Euler Finance'ın bulgularına göre, benzer durumların çoğunda açık güvenlik zafiyetleri kontrolü yapılmamaktadır. Chaos Labs, güvenlik stratejilerinin zararı önlemeye yönelik olduğunu kabul etti.

«wUSDM sözleşmeleri, çapraz zincir döviz kuru oracle'ını kullanabilir veya Venus'ta fiyat artışlarını sınırlamak için belirli önlemleri uygulamayı düşünebilir. Tüm gelir getiren varlıklar için, Aave'deki CAPO gibi fiyat tavanı olan bir oracle uygulanacak, bu da yapay sıçramalar yoluyla manipülasyonu önleyecektir», — incelemede belirtiliyor.

Curve Finance'ta bu görüşle hemfikir oldular.

«Bu, yalnızca standartlaştırılmış değil, herhangi bir depolama için geçerlidir. Kredi platformlarının yaygın hatası», — DEX temsilcileri belirtti.

Keselevbrenner, CAPO standardının etkili olduğunu ancak "kodun ek karmaşıklaşmasını ve sürekli yönetimi" gerektirdiğini belirtti.

«DeFi'nin gelişimiyle birlikte, yalnızca değer transferini düşünmekle kalmamalıyız, aynı zamanda varlıkların risk profilini de anlamalıyız. Çapraz zincir oracle altyapısına olan ihtiyaç — ek bir güvenlik düzeyi. Uzmanlaşmış sağlayıcılar, manipülasyonları tespit etmek ve önlemek için tasarlanmış koruma önlemlerini uygulayabilirler», — dedi.

Daha önce Pyth Network, 1 milisaniye güncelleme süresiyle piyasa verilerini sağlayabilen yeni bir on-chain oracle olan Lazer'i tanıttı.

Hatırlatalım ki, Mart ayında Polymarket platformundaki tahmin piyasası, oracle ile yapılan manipülasyonlar sonucunda hatalı bir anlaşmaya vardı.