!
Недавняя атака в области DeFi продемонстрировала уязвимости в системе хранения криптовалют, в частности в хранилище ERC-4626. Хакеры воспользовались знакомым инструментом, называемым flash loan (краткосрочный займ, который позволяет взять в долг и вернуть деньги за мгновение), чтобы исказить курс и обмануть систему ценообразования, также известную как oracle.
27 февраля хакер провел так называемую «атаку на сбор средств», взяв в долг около 4 миллионов долларов США на платформе Aave — платформе для кредитования криптовалюты. Целью атаки стал токен wUSDM, относящийся к системе хранилищ ERC-4626 Mountain Protocol. Это прибыльная криптовалюта, связанная со стейблкоином USDM — криптовалютой со стабильной стоимостью, обеспеченной краткосрочными облигациями США. Хакер специально увеличил курс wUSDM с 1,06 до 1,7, что сделало его более ценным, чем на самом деле.
Затем хакер использовал две учетные записи, чтобы самостоятельно "ликвидировать" – то есть притвориться, что продает свои собственные активы – на Venus Protocol, другой платформе для кредитования. Хотя Venus быстро заблокировал сделки, чтобы предотвратить это, хакер все равно заработал около 200.000 USD прибыли. В то же время Venus понес убытки более 716.000 USD, согласно отчету анализа от Chaos Labs, компании, специализирующейся на управлении рисками.
Йони Кеселбренер, глава отдела DeFi в Lightblocks Labs, поделился с изданием The Block: "Обе команды вовремя среагировали, заблокировав рынок, скорректировав правила риска и вернув курс к нормальному уровню." Кеселбренер является одним из авторов eOracle, системы, предоставляющей реальные данные для децентрализованных приложений на Ethereum.
Vault ERC-4626, запущенный в мае 2022 года, является стандартом для создания хранилищ криптовалют. Однако отчет Chaos Labs показывает, что этот стандарт "не имеет средств защиты при аномальных изменениях курса на платформах кредитования."
В январе 2024 года Euler Finance опубликовал исследование, в котором предупреждается, что большинство хранилищ ERC-4626 не имеют механизма безопасности, чтобы предотвратить манипуляции курсом. Они считают, что необходимо комбинировать несколько мер защиты для повышения эффективности.
Chaos Labs также отмечает, что атаку можно было бы избежать, если бы были приняты такие меры, как: "Контракт wUSDM должен использовать систему проверки курса из разных источников. Или, если Venus будет предупрежден заранее, они могут ограничить аномальное повышение курса." Чтобы избежать повторения, Aave планирует применить механизм CAPO – инструмент, ограничивающий искусственный рост цен – для всех криптовалют с прибылью, предотвращая хакеров от создания виртуальной прибыли.
Аккаунт X Curve Finance прокомментировал: "Эта уязвимость возникает не только у стандартных хранилищ, но и у всех типов хранилищ. Это распространенная ошибка на платформах кредитования."
Кесельбренер отметил: "Механизм CAPO очень эффективен, но требует дополнительного сложного программирования и постоянного мониторинга. Мы должны убедиться, что он не препятствует законной прибыли, но при этом предотвращает действия хакеров." Он добавил: "По мере усложнения DeFi мы не можем полагаться только на простые ценовые данные. Необходимо четко понимать риски каждой криптовалюты. Система проверки цен из нескольких источников не является недостатком, а важным уровнем защиты. Специализированные провайдеры оракулов могут разработать меры для обнаружения и предотвращения подобных атак."
Отказ от ответственности:Статья предназначена только для информирования и не является инвестиционной рекомендацией. Инвесторы должны тщательно изучить информацию перед принятием решения. Мы не несем ответственности за ваши инвестиционные решения.
Таиланд одобрил USDT и USDC, расширив торговлю криптовалютами
Финансовый регулятор Калифорнии предупреждает о 7 новых видах мошенничества с криптовалютой и ИИ
Microsoft обнаружила троян StilachiRAT, атакующий криптовалютные кошельки в Google Chrome удаленно
Тхак Сань
@media только экран и (min-width: 0px) и (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
ширина:320px;
высота: 100px;
}
}
@media только экран и (min-width: 728px) и (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
ширина: 728px;
высота: 90px;
}
}
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Недавняя атака DeFi выявила уязвимость в стандарте хранилища ERC-4626
! Недавняя атака в области DeFi продемонстрировала уязвимости в системе хранения криптовалют, в частности в хранилище ERC-4626. Хакеры воспользовались знакомым инструментом, называемым flash loan (краткосрочный займ, который позволяет взять в долг и вернуть деньги за мгновение), чтобы исказить курс и обмануть систему ценообразования, также известную как oracle.
27 февраля хакер провел так называемую «атаку на сбор средств», взяв в долг около 4 миллионов долларов США на платформе Aave — платформе для кредитования криптовалюты. Целью атаки стал токен wUSDM, относящийся к системе хранилищ ERC-4626 Mountain Protocol. Это прибыльная криптовалюта, связанная со стейблкоином USDM — криптовалютой со стабильной стоимостью, обеспеченной краткосрочными облигациями США. Хакер специально увеличил курс wUSDM с 1,06 до 1,7, что сделало его более ценным, чем на самом деле.
Затем хакер использовал две учетные записи, чтобы самостоятельно "ликвидировать" – то есть притвориться, что продает свои собственные активы – на Venus Protocol, другой платформе для кредитования. Хотя Venus быстро заблокировал сделки, чтобы предотвратить это, хакер все равно заработал около 200.000 USD прибыли. В то же время Venus понес убытки более 716.000 USD, согласно отчету анализа от Chaos Labs, компании, специализирующейся на управлении рисками.
Йони Кеселбренер, глава отдела DeFi в Lightblocks Labs, поделился с изданием The Block: "Обе команды вовремя среагировали, заблокировав рынок, скорректировав правила риска и вернув курс к нормальному уровню." Кеселбренер является одним из авторов eOracle, системы, предоставляющей реальные данные для децентрализованных приложений на Ethereum.
Vault ERC-4626, запущенный в мае 2022 года, является стандартом для создания хранилищ криптовалют. Однако отчет Chaos Labs показывает, что этот стандарт "не имеет средств защиты при аномальных изменениях курса на платформах кредитования."
В январе 2024 года Euler Finance опубликовал исследование, в котором предупреждается, что большинство хранилищ ERC-4626 не имеют механизма безопасности, чтобы предотвратить манипуляции курсом. Они считают, что необходимо комбинировать несколько мер защиты для повышения эффективности.
Chaos Labs также отмечает, что атаку можно было бы избежать, если бы были приняты такие меры, как: "Контракт wUSDM должен использовать систему проверки курса из разных источников. Или, если Venus будет предупрежден заранее, они могут ограничить аномальное повышение курса." Чтобы избежать повторения, Aave планирует применить механизм CAPO – инструмент, ограничивающий искусственный рост цен – для всех криптовалют с прибылью, предотвращая хакеров от создания виртуальной прибыли.
Аккаунт X Curve Finance прокомментировал: "Эта уязвимость возникает не только у стандартных хранилищ, но и у всех типов хранилищ. Это распространенная ошибка на платформах кредитования."
Кесельбренер отметил: "Механизм CAPO очень эффективен, но требует дополнительного сложного программирования и постоянного мониторинга. Мы должны убедиться, что он не препятствует законной прибыли, но при этом предотвращает действия хакеров." Он добавил: "По мере усложнения DeFi мы не можем полагаться только на простые ценовые данные. Необходимо четко понимать риски каждой криптовалюты. Система проверки цен из нескольких источников не является недостатком, а важным уровнем защиты. Специализированные провайдеры оракулов могут разработать меры для обнаружения и предотвращения подобных атак."
Отказ от ответственности: Статья предназначена только для информирования и не является инвестиционной рекомендацией. Инвесторы должны тщательно изучить информацию перед принятием решения. Мы не несем ответственности за ваши инвестиционные решения.
Тхак Сань
@media только экран и (min-width: 0px) и (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ширина:320px; высота: 100px; } } @media только экран и (min-width: 728px) и (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ширина: 728px; высота: 90px; } }