!
Недавня атака в сфері DeFi продемонструвала вразливості в системі зберігання криптовалют, зокрема в сховищі ERC-4626. Хакер скористався звичним інструментом, який називається flash loan (швидкий кредит, який позичається та повертається миттєво), щоб спотворити курс і обманути систему ціноутворення, або, як її ще називають, oracle.
27 лютого хакер здійснив так звану “атаку на пожертвування”, позичивши близько 4 мільйонів доларів США від Aave – платформи для кредитування криптовалюти. Мета полягала в токені wUSDM, що належить до системи сховища ERC-4626 Mountain Protocol. Це вид криптовалюти з прибутком, пов’язаний зі стейблкоїном USDM – криптовалютою, яка має стабільну вартість завдяки забезпеченню короткостроковими облігаціями США. Хакер навмисно підвищив курс wUSDM з 1,06 до 1,7, що зробило його вигляд більш цінним, ніж є насправді.
Далі зловмисник використав два акаунти, щоб самостійно “продати” – тобто прикинутися, що продає власні активи – на Venus Protocol, ще одній платформі для позик. Хоча Venus швидко заблокував транзакції, щоб запобігти цьому, зловмисник все ж заробив близько 200 000 USD прибутку. Тим часом Venus зазнав збитків на понад 716 000 USD, згідно з аналітичним звітом компанії Chaos Labs, яка спеціалізується на управлінні ризиками.
Йоні Кесельбренер, керівник відділу DeFi у Lightblocks Labs, поділився з виданням The Block: “Обидві команди вчасно відреагували, заблокувавши ринок, відкоригувавши правила ризику та повернувши обмінний курс до нормального рівня.” Кесельбренер є contributor до eOracle, системи, що надає реальні дані для децентралізованих додатків на Ethereum.
Vault ERC-4626, запущений з травня 2022 року, є стандартом для створення сховищ криптовалюти. Проте, звіт Chaos Labs вказує на те, що цей стандарт “не має засобів захисту, коли курс різко змінюється на платформах кредитування.”
У січні 2024 року Euler Finance опублікував дослідження, яке попереджає, що більшість сховищ ERC-4626 не мають механізму безпеки для запобігання маніпуляціям з обмінним курсом. Вони вважають, що потрібно поєднати кілька заходів захисту для більшої ефективності.
Chaos Labs також зазначає, що атаку можна було б уникнути, якщо б були застосовані такі заходи: “Контракт wUSDM має використовувати систему перевірки курсу з різних джерел. Або, якщо Venus отримав би раннє попередження, вони могли б обмежити аномальне зростання курсу.” Щоб уникнути повторення, Aave планує запровадити механізм CAPO – інструмент, що обмежує штучне зростання цін – для всіх криптовалют з прибутком, запобігаючи хакерам створення віртуального прибутку.
Обліковий запис X Curve Finance прокоментував: “Ця уразливість виникає не лише у стандартних сховищах, а й у всіх типах сховищ. Це поширена помилка на кредитних платформах.”
Кесельбренер зазначив: “Механізм CAPO дуже ефективний, але потребує додаткового складного кодування та має бути постійно під наглядом. Ми повинні забезпечити, щоб він не перешкоджав законному прибутку, але все ж запобігав хакерам.” Він додав: “Коли DeFi стає все більш складним, ми не можемо покладатися лише на прості дані про ціни. Потрібно чітко розуміти ризики кожної криптовалюти. Система перевірки цін з кількох джерел не є недоліком, а важливим захисним шаром. Спеціалізовані постачальники оракулів можуть розробити заходи для виявлення та запобігання таким атакам.”
Застереження: Стаття має лише інформаційний характер і не є інвестиційною порадою. Інвестори повинні ретельно вивчити матеріал перед прийняттям рішення. Ми не несемо відповідальності за ваші інвестиційні рішення
- Таїланд затвердив USDT та USDC, розширюючи торгівлю криптовалютою
- Каліфорнійський фінансовий регулятор попереджає про 7 нових видів шахрайства з криптовалютою та ШІ
- Microsoft виявив троян StilachiRAT, який атакує криптовалютні гаманці на Google Chrome віддалено.
Тхач Сан
@media тільки екран і (min-width: 0px) і (min-height: 0px) {
div[id^=“wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] {
ширина: 320px;
висота: 100px;
}
}
@media тільки екран і (min-width: 728px) і (min-height: 0px) {
div[id^=“wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] {
ширина: 728px;
висота: 90px;
}
}
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
