!
Недавня атака в сфері DeFi продемонструвала вразливості в системі зберігання криптовалют, зокрема в сховищі ERC-4626. Хакер скористався звичним інструментом, який називається flash loan (швидкий кредит, який позичається та повертається миттєво), щоб спотворити курс і обманути систему ціноутворення, або, як її ще називають, oracle.
27 лютого хакер здійснив так звану "атаку на пожертвування", позичивши близько 4 мільйонів доларів США від Aave – платформи для кредитування криптовалюти. Мета полягала в токені wUSDM, що належить до системи сховища ERC-4626 Mountain Protocol. Це вид криптовалюти з прибутком, пов'язаний зі стейблкоїном USDM – криптовалютою, яка має стабільну вартість завдяки забезпеченню короткостроковими облігаціями США. Хакер навмисно підвищив курс wUSDM з 1,06 до 1,7, що зробило його вигляд більш цінним, ніж є насправді.
Далі зловмисник використав два акаунти, щоб самостійно "продати" – тобто прикинутися, що продає власні активи – на Venus Protocol, ще одній платформі для позик. Хоча Venus швидко заблокував транзакції, щоб запобігти цьому, зловмисник все ж заробив близько 200 000 USD прибутку. Тим часом Venus зазнав збитків на понад 716 000 USD, згідно з аналітичним звітом компанії Chaos Labs, яка спеціалізується на управлінні ризиками.
Йоні Кесельбренер, керівник відділу DeFi у Lightblocks Labs, поділився з виданням The Block: "Обидві команди вчасно відреагували, заблокувавши ринок, відкоригувавши правила ризику та повернувши обмінний курс до нормального рівня." Кесельбренер є contributor до eOracle, системи, що надає реальні дані для децентралізованих додатків на Ethereum.
Vault ERC-4626, запущений з травня 2022 року, є стандартом для створення сховищ криптовалюти. Проте, звіт Chaos Labs вказує на те, що цей стандарт "не має засобів захисту, коли курс різко змінюється на платформах кредитування."
У січні 2024 року Euler Finance опублікував дослідження, яке попереджає, що більшість сховищ ERC-4626 не мають механізму безпеки для запобігання маніпуляціям з обмінним курсом. Вони вважають, що потрібно поєднати кілька заходів захисту для більшої ефективності.
Chaos Labs також зазначає, що атаку можна було б уникнути, якщо б були застосовані такі заходи: "Контракт wUSDM має використовувати систему перевірки курсу з різних джерел. Або, якщо Venus отримав би раннє попередження, вони могли б обмежити аномальне зростання курсу." Щоб уникнути повторення, Aave планує запровадити механізм CAPO – інструмент, що обмежує штучне зростання цін – для всіх криптовалют з прибутком, запобігаючи хакерам створення віртуального прибутку.
Обліковий запис X Curve Finance прокоментував: "Ця уразливість виникає не лише у стандартних сховищах, а й у всіх типах сховищ. Це поширена помилка на кредитних платформах."
Кесельбренер зазначив: "Механізм CAPO дуже ефективний, але потребує додаткового складного кодування та має бути постійно під наглядом. Ми повинні забезпечити, щоб він не перешкоджав законному прибутку, але все ж запобігав хакерам." Він додав: "Коли DeFi стає все більш складним, ми не можемо покладатися лише на прості дані про ціни. Потрібно чітко розуміти ризики кожної криптовалюти. Система перевірки цін з кількох джерел не є недоліком, а важливим захисним шаром. Спеціалізовані постачальники оракулів можуть розробити заходи для виявлення та запобігання таким атакам."
Застереження:Стаття має лише інформаційний характер і не є інвестиційною порадою. Інвестори повинні ретельно вивчити матеріал перед прийняттям рішення. Ми не несемо відповідальності за ваші інвестиційні рішення
Таїланд затвердив USDT та USDC, розширюючи торгівлю криптовалютою
Каліфорнійський фінансовий регулятор попереджає про 7 нових видів шахрайства з криптовалютою та ШІ
Microsoft виявив троян StilachiRAT, який атакує криптовалютні гаманці на Google Chrome віддалено.
Тхач Сан
@media тільки екран і (min-width: 0px) і (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
ширина: 320px;
висота: 100px;
}
}
@media тільки екран і (min-width: 728px) і (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
ширина: 728px;
висота: 90px;
}
}
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Недавня атака на DeFi виявила вразливість у стандарті сховища ERC-4626
! Недавня атака в сфері DeFi продемонструвала вразливості в системі зберігання криптовалют, зокрема в сховищі ERC-4626. Хакер скористався звичним інструментом, який називається flash loan (швидкий кредит, який позичається та повертається миттєво), щоб спотворити курс і обманути систему ціноутворення, або, як її ще називають, oracle.
27 лютого хакер здійснив так звану "атаку на пожертвування", позичивши близько 4 мільйонів доларів США від Aave – платформи для кредитування криптовалюти. Мета полягала в токені wUSDM, що належить до системи сховища ERC-4626 Mountain Protocol. Це вид криптовалюти з прибутком, пов'язаний зі стейблкоїном USDM – криптовалютою, яка має стабільну вартість завдяки забезпеченню короткостроковими облігаціями США. Хакер навмисно підвищив курс wUSDM з 1,06 до 1,7, що зробило його вигляд більш цінним, ніж є насправді.
Далі зловмисник використав два акаунти, щоб самостійно "продати" – тобто прикинутися, що продає власні активи – на Venus Protocol, ще одній платформі для позик. Хоча Venus швидко заблокував транзакції, щоб запобігти цьому, зловмисник все ж заробив близько 200 000 USD прибутку. Тим часом Venus зазнав збитків на понад 716 000 USD, згідно з аналітичним звітом компанії Chaos Labs, яка спеціалізується на управлінні ризиками.
Йоні Кесельбренер, керівник відділу DeFi у Lightblocks Labs, поділився з виданням The Block: "Обидві команди вчасно відреагували, заблокувавши ринок, відкоригувавши правила ризику та повернувши обмінний курс до нормального рівня." Кесельбренер є contributor до eOracle, системи, що надає реальні дані для децентралізованих додатків на Ethereum.
Vault ERC-4626, запущений з травня 2022 року, є стандартом для створення сховищ криптовалюти. Проте, звіт Chaos Labs вказує на те, що цей стандарт "не має засобів захисту, коли курс різко змінюється на платформах кредитування."
У січні 2024 року Euler Finance опублікував дослідження, яке попереджає, що більшість сховищ ERC-4626 не мають механізму безпеки для запобігання маніпуляціям з обмінним курсом. Вони вважають, що потрібно поєднати кілька заходів захисту для більшої ефективності.
Chaos Labs також зазначає, що атаку можна було б уникнути, якщо б були застосовані такі заходи: "Контракт wUSDM має використовувати систему перевірки курсу з різних джерел. Або, якщо Venus отримав би раннє попередження, вони могли б обмежити аномальне зростання курсу." Щоб уникнути повторення, Aave планує запровадити механізм CAPO – інструмент, що обмежує штучне зростання цін – для всіх криптовалют з прибутком, запобігаючи хакерам створення віртуального прибутку.
Обліковий запис X Curve Finance прокоментував: "Ця уразливість виникає не лише у стандартних сховищах, а й у всіх типах сховищ. Це поширена помилка на кредитних платформах."
Кесельбренер зазначив: "Механізм CAPO дуже ефективний, але потребує додаткового складного кодування та має бути постійно під наглядом. Ми повинні забезпечити, щоб він не перешкоджав законному прибутку, але все ж запобігав хакерам." Він додав: "Коли DeFi стає все більш складним, ми не можемо покладатися лише на прості дані про ціни. Потрібно чітко розуміти ризики кожної криптовалюти. Система перевірки цін з кількох джерел не є недоліком, а важливим захисним шаром. Спеціалізовані постачальники оракулів можуть розробити заходи для виявлення та запобігання таким атакам."
Застереження: Стаття має лише інформаційний характер і не є інвестиційною порадою. Інвестори повинні ретельно вивчити матеріал перед прийняттям рішення. Ми не несемо відповідальності за ваші інвестиційні рішення
Тхач Сан
@media тільки екран і (min-width: 0px) і (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ширина: 320px; висота: 100px; } } @media тільки екран і (min-width: 728px) і (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { ширина: 728px; висота: 90px; } }