专家揭示了对Venus的攻击细节及其对预言机的操控

存储漏洞导致了去中心化金融协议因操纵预言机而造成的损失。在Chaos Labs中，展示了对Venus Protocol攻击的分析，损失约为$716 000。

2月27日，恶意攻击者基于即时借贷对Aave进行了大约400万美元的捐赠攻击。他使用了ERC-4626存储代币，用于包裹收益的稳定币Mountain Protocol，wUSDM，人工抬高了其内部汇率。

恶意用户将wUSDM的价格从$1.06抬高到$1.7，随后使用两个账户在Venus Protocol的借贷平台上进行自我清算。

尽管协议反应迅速，但攻击者获得了约$200,000的利润，而Venus则遭受了超过$716,000的损失，依据Chaos Labs的报告。

«两队都采取了紧急措施 — 冻结市场，调整风险参数并降低价格», — 里昂区块链实验室的DeFi负责人约尼·凯塞尔布伦纳告诉The Block。

被攻击的存储实现了在2022年5月提出的ERC-4626标准，该标准不包括对汇率操纵的保护措施。

根据Euler Finance的结论，在大多数类似情况下没有明确的漏洞检测。Chaos Labs承认，安全策略能够防止损失。

«wUSDM合约可以使用跨链汇率预言机，或者在Venus考虑实施某些措施以抑制报价的增长。对于所有产生收益的资产，将引入类似于Aave中CAPO的价格上限预言机，以防止通过人为波动进行操控», — 综述中提到。

在Curve Finance中对此观点表示赞同。

«这涉及到任何存储，不仅仅是标准化的。传统的信用平台错误», — DEX的代表指出。

凯塞尔布伦纳指出，CAPO标准是有效的，但需要“额外复杂的代码和持续的管理”.

«随着去中心化金融的发展，我们不仅需要考虑简单的价值转移，还需要理解资产的风险特征。跨链预言机基础设施的必要性是额外的安全层。专业的供应商可以实施旨在检测和防止操纵的保护措施，» — 他总结道。

此前，Pyth Network 项目推出了新的链上预言机 Lazer，能够以 1 毫秒的更新频率提供市场数据。

提醒一下，在三月，Polymarket平台上的预测市场因对预言机的操控而导致了错误的争议解决。