Увольнение в DeFi: Как атака на Venus Protocol вскрыла уязвимости в системах оракулами

Уязвимости в протоколах хранения криптовалют стали причиной финансовых потерь для DeFi-проектов из-за манипуляций с оракулами. Анализ нападения на Venus Protocol, в результате которого был нанесен ущерб в размере приблизительно $716 000, был представлен компанией Chaos Labs.

27 февраля один из злоумышленников осуществил donation attack, воспользовавшись мгновенными займами. Он занял около $4 миллионов на Aave и применил токен хранилища ERC-4626 для доходного стейблкоина Mountain Protocol, wUSDM, что привело к искусственному увеличению его централись.

Злоумышленник поднял цену wUSDM с $1,06 до $1,7 и затем использовал две учетные записи для ликвидации своих позиций на платформе Venus Protocol.

Хотя протокол быстро отреагировал на атаку, преступник заработал около $200 000, в то время как Venus понесла убытки свыше $716 000, по данным Chaos Labs.

«Обе команды оперативно отреагировали — заморозили рынки, изменили параметры риска и сбросили цену», — сообщил The Block главный специалист по DeFi в Lightblocks Labs Йони Кесельбренер.

Атакованное хранилище применяет стандарт ERC-4626, который был представлен в мае 2022 года и не включает защитные механизмы от манипуляций с обменными курсами.

Как выяснили специалисты из Euler Finance, в большинстве подобных случаев отсутствуют явные меры безопасности от уязвимостей. В Chaos Labs отметили, что меры безопасности могут помочь избежать потерь.

«Контракты wUSDM могут использовать кроссчейн-оракулы для обменного курса или в Venus внедрить специальные меры для ограничения роста цен. На все доходные активы планируется внедрение оракула с ценовым потолком, подобного CAPO в Aave, запрещающего манипуляции искусственным повышением цен», — утверждается в анализе.

С подобным мнением согласны и в Curve Finance.

«Это касается всех хранилищ, а не только стандартизированных. Это распространенная проблема кредитных платформ», — заметили представители DEX.

Кесельбренер подчеркнул, что стандарт CAPO эффективен, но требует «дополнительного усложнения кода и постоянного контроля».

«С развитием DeFi мы должны учитывать не лишь простую передачу ценностей, но и анализ рисков активов. Необходимость в кроссчейн-структуре оракулов добавляет дополнительный уровень безопасности. Специализированные провайдеры могут внедрить защитные меры, направленные на выявление и предотвращение манипуляций», — заключил он.

Ранее Pyth Network запустила новый ончейн-оракул Lazer, который обновляет рыночные данные всего за 1 миллисекунду.

Напомним, что в марте на платформе Polymarket манипуляции с оракулом привели к ошибочному разрешению спора.