Уразливості в системах зберігання призвели до фінансових збитків протоколів DeFi в результаті експлуатації Oracle. Chaos Labs поділилася аналізом атаки на Venus Protocol, яка призвела до втрати приблизно 716 000 доларів США.
27 лютого зловмисник здійснив атаку на пожертвування через миттєву позику, позичивши майже 4 мільйони доларів у Ааве. Він використовував токен зберігання ERC-4626, пов’язаний із загорнутим стейблкойном Mountain Protocol, який генерує прибуток, wUSDM, штучно завищуючи його внутрішній курс.
Зловмисник підвищив ціну wUSDM з $1,06 до $1,7, згодом використавши два облікові записи для самоліквідації на платформі кредитування Venus Protocol.
Незважаючи на швидку реакцію протоколу, зловмисник отримав прибуток у розмірі близько 200 000 доларів США, а Venus зазнав збитків на суму понад 716 000 доларів США, повідомляє Chaos Labs.
«Обидві команди запровадили надзвичайні заходи — вони заморозили ринки, змінили параметри ризику та знизили ціну», — заявив Джоні Кессельбреннер, керівник DeFi у Lightblocks Labs, в інтерв’ю The Block.
Зломане сховище відповідає стандарту ERC-4626, який було введено в травні 2022 року, і не має гарантій проти коливань обмінних курсів.
Euler Finance зазначив, що в більшості випадків чіткі оцінки вразливості не включені. Chaos Labs визнали, що надійні стратегії безпеки можуть зменшити потенційну шкоду.
“Контракти wUSDM можуть використовувати міжланцюговий оракул обмінного курсу, або Venus може захотіти розглянути можливість впровадження заходів для обмеження стрибків цін. Для всіх активів, що приносять прибуток, буде прийнято оракул максимальної ціни, схожий на CAPO в Aave, що запобігає маніпуляції через штучні стрибки”, – йдеться в огляді.
Curve Finance погодилася з цією оцінкою.
людина Це вразливість Венери: вона не очікувала, що позикова монета подорожчає. Але проблема НЕ в стандарті.
Це стосується будь-якого сховища, до речі, не лише стандартизованого. Просто типова помилка кредитних платформ
— Curve Finance (@CurveFinance) 30 березня 2025 р
“Це стосується будь-яких сховищ, а не тільки стандартизованих. Частий недогляд з боку платформ кредитування”, – зазначили представники DEX.
Кессельбреннер зазначив, що хоча стандарт CAPO є ефективним, він передбачає «додаткову складність коду та постійне управління».
“У міру розвитку DeFi ми повинні розглядати більше, ніж просто передачу цін; ми також повинні розуміти профіль ризику активів. Необхідність крос-ланцюжкової інфраструктури оракула додає ще один рівень безпеки. Спеціалізовані постачальники можуть впроваджувати засоби захисту, спрямовані на виявлення та запобігання маніпуляціям”, – підсумував він.
Раніше проект Pyth Network запустив новий мережевий оракул під назвою Lazer, який здатний надавати ринкові дані з часом оновлення лише за 1 мілісекунду.
Варто відзначити, що в березні ринок прогнозів на платформі Polymarket досяг некоректного вирішення спору через маніпуляції оракула.
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Spanish
Ukrainian