Уязвимости в хранилищах привели к потерям DeFi-протоколов вследствие манипулирования оракулами. В Chaos Labs представили анализ атаки на Venus Protocol с ущербом в ~$716 000.
27 февраля злоумышленник осуществил donation attack на основе мгновенного займа, заняв у Aave около $4 млн. Он использовал токен хранилища ERC-4626 для обернутого доходного стейблкоина Mountain Protocol, wUSDM, искусственно завысив его внутренний курс.
Злоумышленник взвинтил цену wUSDM с $1,06 до $1,7, в дальнейшем использовав два аккаунта для самоликвидации на кредитной платформе Venus Protocol.
Несмотря на быстрое реагирование протоколом, атаковавший получил прибыль в размере около $200 000, а Venus понесла убытки в размере более $716 000, согласно Chaos Labs.
«Обе команды приняли экстренные меры — заморозили рынки, скорректировали параметры риска и сбросили цену», — рассказал The Block глава DeFi в Lightblocks Labs Йони Кесельбренер.
Атакованное хранилище реализует стандарт ERC-4626, представленный в мае 2022 года, который не включает средства защиты от манипуляций с обменными курсами.
Согласно выводам Euler Finance, в большинстве подобных случаев не предусмотрены явные проверки уязвимостей. В Chaos Labs признали, что стратегии безопасности способны предотвратить ущерб.
«Контракты wUSDM могут использовать кроссчейн-оракул обменного курса или в Venus задуматься о реализации определенных мер для сдерживания роста котировок. Для всех приносящих доход активов внедрят оракул с ценовым потолком вроде CAPO в Aave, предотвращающий манипуляции с помощью искусственных скачков», — говорится в обзоре.
С подобной точкой зрения согласились в Curve Finance.
Man. This is vulnerability in Venus: it did not expect borrowable coin to go up. But it's NOT the problem in the standard.
It applies to any vault btw, not only standardized. Just a common misstep by lending platforms
«Это касается любого хранилища, не только стандартизированного. Обычная ошибка кредитных платформ», — указали представители DEX.
Кесельбренер отметил, что стандарт CAPO эффективен, но требует «дополнительного усложнения кода и постоянного управления».
«По мере развития DeFi нам необходимо думать не только о простой передаче цен, но и о понимании профиля риска активов. Необходимость в кроссчейн-инфраструктуре оракулов — дополнительный уровень безопасности. Специализированные поставщики могут внедрить меры защиты, разработанные для обнаружения и предотвращения манипуляций», — заключил он.
Ранее проект Pyth Network представил новый ончейн-оракул Lazer, который способен предоставлять рыночные данные со временем обновления всего в 1 миллисекунду.
Напомним, в марте рынок предсказаний на платформе Polymarket пришел к ошибочному разрешению спора в результате манипуляций с оракулом.