Уразливості в сховищі призвели до фінансових втрат для протоколів DeFi через маніпуляції з оракулами. Chaos Labs опублікувала аналіз, у якому детально описується атака на Venus Protocol, яка призвела до збитків у розмірі приблизно 716 000 доларів США.
27 лютого нападник здійснив атаку на пожертвування, використовуючи миттєву позику, позичивши у Ааве приблизно 4 мільйони доларів. Вони використовували токен зберігання ERC-4626 для загорнутого стейблкоїна Mountain Protocol, який приносить прибуток, wUSDM, що штучно підвищило його внутрішній курс.
Зловмисник підвищив ціну wUSDM з $1,06 до $1,70, згодом використавши два облікові записи для самоліквідації на платформі кредитування Venus Protocol.
Незважаючи на оперативні дії протоколу, зловмисник отримав прибуток у розмірі близько 200 000 доларів США, а Venus зазнав збитків на суму понад 716 000 доларів США, повідомляє Chaos Labs.
«Обидві команди запровадили екстрені заходи — вони заморозили ринки, змінили параметри ризику та знизили ціну», — повідомив The Block Джоні Кессельбреннер, керівник DeFi у Lightblocks Labs.
Сховище, яке зазнало атаки, відповідає стандарту ERC-4626, який було введено в травні 2022 року, і не має гарантій проти маніпулювання обмінним курсом.
Відповідно до Euler Finance, явні перевірки вразливостей зазвичай не включені в більшість таких сценаріїв. Chaos Labs визнали, що заходи безпеки можуть зменшити потенційну шкоду.
“Контракти wUSDM можуть використовувати міжланцюговий оракул обмінного курсу, або Venus може розглянути можливість введення заходів для обмеження ескалації цін. Для всіх активів, що приносять прибуток, буде впроваджено оракул максимальної ціни, схожий на CAPO в Aave, щоб запобігти маніпуляціям шляхом штучних стрибків”, – йдеться у звіті.
Curve Finance погодилася з цією оцінкою.
людина Ця вразливість Венери: вона не передбачала, що кількість позичених монет збільшиться. Але це НЕ проблема зі стандартом.
До речі, це стосується будь-якого сховища, а не лише стандартизованого. Просто поширена помилка платформ кредитування
— Curve Finance (@CurveFinance) 30 березня 2025 р
“Це стосується будь-яких сховищ, а не виключно стандартизованих типів. Часта помилка серед кредитних платформ”, – зазначили представники DEX.
Кессельбреннер підкреслив, що хоча стандарт CAPO ефективний, він передбачає «додаткову складність коду та постійне управління».
“У міру розвитку DeFi ми повинні виходити за межі простої передачі цін, а також враховувати профіль ризику активів. Вимога до міжланцюжкової інфраструктури оракула додає додатковий рівень безпеки. Спеціалізовані постачальники можуть впроваджувати засоби захисту, призначені для виявлення та запобігання маніпуляціям”, – підсумував він.
Раніше проект Pyth Network запустив новий мережевий оракул під назвою Lazer, здатний надавати ринкові дані з частотою оновлення лише 1 мілісекунди.
Варто відзначити, що в березні ринок прогнозів на платформі Polymarket досяг некоректного вирішення спору через маніпуляції оракулами.
