Експерти розкрили деталі атаки на Venus Protocol із маніпулюванням оракула

Вразливості в сховищах призвели до втрат DeFi-протоколів унаслідок маніпулювання оракулами. У Chaos Labs представили аналіз атаки на Venus Protocol зі збитком у ~$716 000.

27 лютого зловмисник здійснив donation attack на основі миттєвої позики, позичивши в Aave близько $4 млн. Він використовував токен сховища ERC-4626 для обгорнутого прибуткового стейблкоїна Mountain Protocol, wUSDM, штучно завищивши його внутрішній курс.

Зловмисник підняв ціну wUSDM з $1,06 до $1,7, надалі використавши два акаунти для самоліквідації на кредитній платформі Venus Protocol.

Попри швидке реагування протоколом, зловмисник отримав прибуток у розмірі близько $200 000, а Venus зазнав збитків у розмірі понад $716 000, згідно з Chaos Labs.

«Обидві команди вжили екстрених заходів — заморозили ринки, скоригували параметри ризику і скинули ціну», — розповів The Block глава DeFi в Lightblocks Labs Йоні Кесельбренер.

Атаковане сховище реалізує стандарт ERC-4626, представлений у травні 2022 року, який не містить засобів захисту від маніпуляцій з обмінними курсами.

Згідно з висновками Euler Finance, у більшості подібних випадків не передбачено явних перевірок вразливостей. У Chaos Labs визнали, що стратегії безпеки здатні запобігти шкоді.

«Контракти wUSDM можуть використовувати кросчейн-оракул обмінного курсу або в Venus задуматися про реалізацію певних заходів для стримування зростання котирувань. Для всіх активів, що приносять дохід, впровадять оракул із ціновою стелею на кшталт CAPO в Aave, що запобігає маніпуляціям за допомогою штучних стрибків», — йдеться в огляді.

З подібною думкою погодилися в Curve Finance.

«Це стосується будь-якого сховища, не тільки стандартизованого. Звичайна помилка кредитних платформ», — вказали представники DEX.

Кесельбренер зазначив, що стандарт CAPO ефективний, але вимагає «додаткового ускладнення коду і постійного управління».

«У міру розвитку DeFi нам необхідно думати не тільки про просту передачу цін, а й про розуміння профілю ризику активів. Необхідність у кросчейн-інфраструктурі оракулів — додатковий рівень безпеки. Спеціалізовані постачальники можуть впровадити заходи захисту, розроблені для виявлення і запобігання маніпуляціям», — підсумував він.

Раніше проєкт Pyth Network представив новий ончейн-оракул Lazer, який здатний надавати ринкові дані з часом оновлення всього в 1 мілісекунду.

Нагадаємо, у березні ринок передбачень на платформі Polymarket дійшов до помилкового вирішення спору внаслідок маніпуляцій з оракулом.