Експерти розкрили деталі атаки на Venus з маніпуляцією оракула

Вразливості в сховищах призвели до втрат DeFi-протоколів внаслідок маніпуляцій з оракулами. У Chaos Labs представили аналіз атаки на Venus Protocol з шкодою в ~$716 000.

27 лютого зловмисник здійснив donation attack на основі миттєвого позики, позичивши у Aave близько $4 млн. Він використав токен сховища ERC-4626 для обернутого дохідного стейблкоїна Mountain Protocol, wUSDM, штучно завищивши його внутрішній курс.

Зловмисник підняв ціну wUSDM з $1,06 до $1,7, далі використавши два акаунти для самоліквідації на кредитній платформі Venus Protocol.

Незважаючи на швидку реакцію протоколу, атакуючий отримав прибуток у розмірі близько $200 000, а Venus зазнала збитків у розмірі понад $716 000, згідно з Chaos Labs.

«Обидві команди вжили екстрених заходів — заморозили ринки, скоригували параметри ризику та скинули ціну», — розповів The Block голова DeFi в Lightblocks Labs Йоні Кесельбренер.

Атаковане сховище реалізує стандарт ERC-4626, представлений у травні 2022 року, який не включає засоби захисту від маніпуляцій з обмінними курсами.

Згідно з висновками Euler Finance, в більшості подібних випадків не передбачені явні перевірки вразливостей. У Chaos Labs визнали, що стратегії безпеки здатні запобігти шкоді.

«Контракти wUSDM можуть використовувати кросчейн-оракл обмінного курсу або в Venus задуматися про реалізацію певних заходів для стримування зростання котирувань. Для всіх прибуткових активів впровадять оракл з ціновим стелею на зразок CAPO в Aave, що запобігає маніпуляціям за допомогою штучних стрибків», — йдеться в огляді.

З подібною точкою зору погодились у Curve Finance.

«Це стосується будь-якого сховища, не тільки стандартизованого. Звичайна помилка кредитних платформ», — вказали представники DEX.

Кесельбренер відзначив, що стандарт CAPO ефективний, але вимагає «додаткового ускладнення коду та постійного управління».

«У міру розвитку DeFi нам необхідно думати не тільки про просту передачу цін, але й про розуміння профілю ризику активів. Необхідність у кросчейн-інфраструктурі оракулів — додатковий рівень безпеки. Спеціалізовані постачальники можуть впровадити заходи захисту, розроблені для виявлення і запобігання маніпуляціям», — підсумував він.

Раніше проект Pyth Network представив новий ончейн-оракул Lazer, який здатен надавати ринкові дані з часом оновлення всього в 1 мілісекунду.

Нагадаємо, в березні ринок прогнозів на платформі Polymarket прийшов до помилкового рішення спору внаслідок маніпуляцій з оракулом.