Các chuyên gia đã tiết lộ chi tiết về cuộc tấn công vào Venus với sự thao túng oracle.

Các lỗ hổng trong lưu trữ đã dẫn đến việc mất các giao thức DeFi do sự thao túng của các nhà tiên tri. Chaos Labs đã trình bày một phân tích về cuộc tấn công vào Venus Protocol với thiệt hại ~ 716.000 đô la.

Vào ngày 27 tháng 2, một kẻ xấu đã thực hiện cuộc tấn công donation dựa trên khoản vay tức thời, vay khoảng 4 triệu đô la từ Aave. Hắn đã sử dụng token lưu trữ ERC-4626 cho stablecoin sinh lời được bọc Mountain Protocol, wUSDM, tăng giá trị nội bộ của nó một cách giả tạo.

Kẻ xấu đã đẩy giá wUSDM từ $1,06 lên $1,7, sau đó sử dụng hai tài khoản để tự thanh lý trên nền tảng cho vay Venus Protocol.

Mặc dù giao thức đã phản ứng nhanh chóng, kẻ tấn công đã thu được lợi nhuận khoảng $200 000, trong khi Venus chịu thiệt hại hơn $716 000, theo Chaos Labs.

«Cả hai đội đã thực hiện các biện pháp khẩn cấp - đóng băng thị trường, điều chỉnh các tham số rủi ro và giảm giá», - đã nói với The Block, giám đốc DeFi tại Lightblocks Labs, Yoni Keselbrener.

Kho lưu trữ bị tấn công thực hiện tiêu chuẩn ERC-4626, được giới thiệu vào tháng 5 năm 2022, không bao gồm các biện pháp bảo vệ chống lại việc thao túng tỷ giá.

Theo kết luận của Euler Finance, trong hầu hết các trường hợp như vậy không có kiểm tra lỗ hổng rõ ràng. Tại Chaos Labs, họ đã thừa nhận rằng các chiến lược an ninh có khả năng ngăn chặn thiệt hại.

«Hợp đồng wUSDM có thể sử dụng oracle tỷ giá chéo chuỗi hoặc trong Venus suy nghĩ về việc thực hiện một số biện pháp để kiềm chế sự gia tăng giá trị. Đối với tất cả các tài sản mang lại thu nhập, sẽ triển khai oracle với trần giá giống như CAPO trong Aave, ngăn chặn việc thao túng thông qua các cú nhảy giả tạo», — được đề cập trong bài đánh giá.

Với quan điểm tương tự, Curve Finance đã đồng ý.

«Điều này liên quan đến bất kỳ kho lưu trữ nào, không chỉ là tiêu chuẩn. Đây là lỗi phổ biến của các nền tảng tín dụng», — đại diện DEX cho biết.

Keselevbrenner đã lưu ý rằng tiêu chuẩn CAPO là hiệu quả, nhưng yêu cầu "sự phức tạp bổ sung của mã và quản lý liên tục."

«Khi DeFi phát triển, chúng ta cần nghĩ không chỉ về việc chuyển giao giá trị đơn giản, mà còn về việc hiểu hồ sơ rủi ro của các tài sản. Sự cần thiết của cơ sở hạ tầng chuỗi chéo cho các oracle — là một cấp độ bảo mật bổ sung. Các nhà cung cấp chuyên biệt có thể triển khai các biện pháp bảo vệ được thiết kế để phát hiện và ngăn chặn các hành vi thao túng», — ông kết luận.

Trước đây, dự án Pyth Network đã giới thiệu một oracle trên chuỗi mới là Lazer, có khả năng cung cấp dữ liệu thị trường với thời gian cập nhật chỉ 1 mili giây.

Nhắc lại, vào tháng Ba, thị trường dự đoán trên nền tảng Polymarket đã dẫn đến việc giải quyết tranh chấp sai do thao túng oracle.