Експерти розкрили подробиці атаки на протокол Venus з маніпуляціями з оракулами – ForkLog UA
Уразливості в системах зберігання призвели до фінансових втрат для протоколів DeFi через маніпуляції оракулами. Лабораторія Chaos Labs опублікувала аналіз із детальним описом нападу на Venus Protocol, який завдав збитків приблизно 716 000 доларів США.
27 лютого нападник здійснив атаку на пожертвування, використовуючи миттєву позику, позичивши у Ааве близько 4 мільйонів доларів. Він використав токен зберігання ERC-4626, пов’язаний із загорнутим прибутковим стейблкоіном wUSDM від Mountain Protocol, який штучно завищив його внутрішню вартість.
Зловмисник збільшив ціну wUSDM з $1,06 до $1,7, згодом використавши два облікові записи для самоліквідації на кредитній платформі Venus Protocol.
Незважаючи на швидку реакцію протоколу, зловмиснику вдалося отримати прибуток у розмірі приблизно 200 000 доларів США, а Venus зіткнувся з збитками, що перевищують 716 000 доларів США, повідомляє Chaos Labs.
«Обидві команди запровадили надзвичайні заходи — зупинили ринки, змінили параметри ризику та знизили ціну», — заявив Джоні Кессельбреннер, керівник DeFi у Lightblocks Labs, в інтерв’ю The Block.
У зламаному сховищі використовується стандарт ERC-4626, який був запроваджений у травні 2022 року, і не має гарантій проти маніпулювання обмінним курсом.
Відповідно до Euler Finance, явні перевірки вразливостей зазвичай відсутні в більшості таких сценаріїв. Chaos Labs визнали, що заходи безпеки можуть зменшити потенційну шкоду.
“Контракти wUSDM можуть виграти від міжланцюжкового оракула обмінного курсу, або Venus може розглянути впровадження стратегій для обмеження стрибків цін. Для всіх активів, що приносять дохід, буде введено оракул максимальної ціни, подібний до CAPO в Aave, щоб запобігти маніпуляціям через штучні стрибки”, – йдеться в огляді.
Curve Finance погодилася з цією оцінкою.
людина Це вразливість Венери: вона не очікувала, що позикова монета подорожчає. Але проблема НЕ в стандарті.
Це стосується будь-якого сховища, до речі, не лише стандартизованого. Просто типова помилка кредитних платформ
— Curve Finance (@CurveFinance) 30 березня 2025 р
“Це стосується будь-якого сховища, а не лише стандартизованого. Платформи кредитування є частим недоглядом”, – зазначили представники DEX.
Кессельбреннер зазначив, що стандарт CAPO ефективний, але він вимагає «додаткової складності коду та постійного нагляду».
“У міру розвитку DeFi ми повинні розглядати більше, ніж просто передачу цін; ми також повинні розуміти профіль ризику активів. Вимога до крос-ланцюжкової інфраструктури оракула додає додатковий рівень безпеки. Спеціалізовані постачальники можуть впроваджувати засоби захисту, призначені для виявлення та запобігання маніпуляціям”, – підсумував він.
Раніше проект Pyth Network представив новий мережевий оракул Lazer, який може надавати ринкові дані з часом оновлення лише за 1 мілісекунду.
Пам’ятайте, що в березні ринок прогнозів на платформі Polymarket досяг некоректного вирішення спору через маніпуляції оракула.
