报告:预言机价格操纵已造成超3000万美元损失,且无放缓迹象
作者:Jamie Redman
译者:念银思唐
11 月 9 日,samczsun.com 网站的一位作者发表了一份报告,报告显示了一些区块链应用程序引发的预言机(oracle)操纵币价的问题。该研究人员指出,截至目前,这一情况已经导致“超过 3000 万美元的损失。”
根据来自 samczsun.com 研究员、知名白帽加密黑客 Sam Sun(Samczsun)的说法,2020 年发生了大量预言机操纵价格的情况。周一,该研究员在 推特上 写道:“预言机价格操纵迄今已造成超过 3000 万美元的损失,而且没有放缓的迹象。”这条推文还附上了一篇在该研究人员的门户网站上写的博客文章:“故而你想用价格预言机(So you want to use a price oracle)。”
在这篇文章中,他解释说,在 2019 年底,他发表了一篇名为“ 从欠抵押贷款中取乐并牟利(Taking undercollateralized loans for fun and for profit) ”的帖子,并解释了他可以如何攻击基于 ETH 的 DApp。他所提及的 DApp 特别依赖于一些加密资产的预言机价格数据。
“现在是 2020 年末,不幸的是,还是有许多项目都犯了类似的错误。”该报告强调,“最近的一个例子是 Harvest Finance 黑客攻击事件,导致协议用户集体损失 3300 万美元。”
基本上,预言机是一种协议,可以记录链上和链外数据,并将数据提交到以太坊这样的区块链中。这些预言机用于智能合约、自动做市商(AMM)、交易平台,其中一个流行的基于 ETH 的预言机是 Chainlink。报告指出,开发人员已经意识到一些与预言机有关的问题,但是“预言机操纵价格显然不是人们经常考虑的问题。”
报告补充道:
“相反,基于可重入性的漏洞利用在过去几年中有所下降,而基于预言机价格操纵的漏洞利用率现在正在上升。”
然而,该报告并不仅仅是提出批评。samczsun.com 也有相应版块介绍了预言机、预言机操作以及如何抵御攻击。此外,报告还讨论了过去发生的六个漏洞。
例如,这篇文章提到了欠抵押贷款(undercollateralized loans)、Synthetix sKRW 预言机故障、yVault bug、Synthetix MKR 操纵、Harvest Finance 黑客攻击事件以及 Bzx 黑客攻击事件。
Synthetix MKR操纵的演示。图片来源:Samczsun.com。
Samczsun.com 的研究还总结了 2020 年 10 月 26 日发生的 Harvest Finance 事件。
“攻击者通过交易压低 Curve 池中 USDC 的价格,并以较低的价格进入 Harvest 池。”调查结果指出,“(攻击者)通过逆转先前的交易恢复了价格,并以更高的价格退出了 Harvest 池。这导致了超过 3300 万美元的损失。”
报告得出结论:“价格预言机是 DeFi 安全的一个关键但常常被忽视的组成部分”。文章强调,如果 DApp 忽视了其中的一些问题,有各种可能性导致他们自食其果。“在交易过程中读取价格信息可能是不安全的,可能会导致灾难性的财务损失,”研究报告这样写道。