Експерти розкрили деталі атаки на Venus Protocol із маніпулюванням оракула

Вразливості у сховищах призвели до втрат DeFi-протоколів через маніпуляції оракулами. У Chaos Labs представили аналіз нападу на Venus Protocol, внаслідок якого було зафіксовано збитки близько $716 000.

27 лютого зловмисник здійснив donation attack, використовуючи миттєве кредитування, позичивши в Aave приблизно $4 млн. Він застосував токен сховища ERC-4626 для обгорнутого прибуткового стейблкоїна Mountain Protocol, wUSDM, штучно підвищивши його внутрішній курс.

Зловмисник підняв ціну wUSDM з $1,06 до $1,7, і потім використав два акаунти для самоліквідації на кредитній платформі Venus Protocol.

Не зважаючи на швидке реагування протоколу, зловмисник отримав прибуток у розмірі приблизно $200 000, в той час як Venus зазнав збитків, які перевищують $716 000, згідно з даними Chaos Labs.

«Обидві команди вжили термінових заходів: заморозили ринки, налаштували ризикові параметри та знизили ціну», — розповів The Block керівник DeFi в Lightblocks Labs Йоні Кесельбренер.

Атаковане сховище реалізує стандарт ERC-4626, представлений у травні 2022 року, який не містить механізмів захисту від маніпуляцій з обмінними курсами.

Відповідно до висновків Euler Finance, у більшості подібних ситуацій не передбачено явних перевірок на вразливості. У Chaos Labs визнали, що стратегії безпеки можуть запобігти шкоді.

«Контракти wUSDM можуть використовувати кросчейн-оракул обмінного курсу або ж Venus слід врахувати можливість впровадження певних заходів для обмеження зростання котирувань. Для всіх активів, що приносять дохід, буде впроваджено оракул із ціновою стелею на зразок CAPO в Aave, який перешкоджає маніпуляціям шляхом штучних стрибків», — йдеться в огляді.

Подібну думку висловили й в Curve Finance.

Man. This is vulnerability in Venus: it did not expect borrowable coin to go up. But it's NOT the problem in the standard.

It applies to any vault btw, not only standardized. Just a common misstep by lending platforms

— Curve Finance (@CurveFinance) March 30, 2025

«Це стосується будь-якого сховища, не тільки стандартизованого. Це звичайна помилка кредитних платформ», — зазначили представники DEX.

Кесельбренер підкреслив, що стандарт CAPO є ефективним, але вимагатиме «додаткового ускладнення коду та постійного управління».

«Зі зростанням DeFi, ми повинні думати не лише про просту передачу цін, а й про розуміння профілю ризику активів. Необхідність у кросчейн-інфраструктурі оракулів є додатковим рівнем безпеки. Спеціалізовані постачальники можуть впроваджувати заходи захисту, спрямовані на виявлення та запобігання маніпуляціям», — підсумував він.

Раніше проєкт Pyth Network представив новий ончейн-оракул Lazer, який здатний надавати ринкові дані з часом оновлення всього в 1 мілісекунду.

Нагадаємо, у березні ринок передбачень на платформі Polymarket дійшов до помилкового вирішення спору через маніпуляції з оракулом.

Источник