DeFi-протокол Venus оказался под ударом вследствие манипуляций с токеном хранилища стандарта ERC-4626. Chaos Labs сообщили об убытках на сумму $716 000 после атаки, в которой ключевую роль сыграл мгновенный заём и искусственное завышение внутренней стоимости доходного токена wUSDM.
Атака была проведена 27 февраля: злоумышленник занял около $4 млн на платформе Aave, после чего задействовал токен хранилища от Mountain Protocol. Благодаря особенностям ERC-4626, он смог манипулировать ценой актива, подняв курс с $1,06 до $1,7. В дальнейшем, через две учетные записи, он осуществил самоликвидацию на платформе Venus, зафиксировав $200 000 прибыли.
Как отмечают эксперты, проблема кроется в отсутствии в стандарте ERC-4626 механизмов для верификации обменного курса. Контракты не проверяют, насколько адекватна внутренняя цена актива, и этим может воспользоваться злоумышленник.
Chaos Labs и Euler Finance сходятся во мнении, что большинство подобных хранилищ недостаточно защищены. Решением может стать внедрение оракулов с ценовыми потолками — механизмов, ограничивающих допустимый рост стоимости токена. Аналогичный подход реализован в Aave через CAPO (Capped Oracle Pricing Option), который ограничивает волатильность искусственно стимулируемых активов.
Тем временем, Curve Finance и другие протоколы DeFi подчеркивают, что эта проблема не уникальна для конкретного токена или платформы. Сама модель кредитования нуждается в пересмотре, включая более глубокое понимание рисков и внедрение кроссчейн-оракулов, обладающих устойчивостью к манипуляциям.
По мнению Йони Кесельбренера, в будущем DeFi-протоколам придётся адаптироваться к реальности, где простое использование оракулов больше не гарантирует безопасность. Необходимы более интеллектуальные стратегии, сочетание кода, надзора и гибкой архитектуры, ориентированной на устойчивость к атакам.
Добавить комментарий