Analyse eines $700k Oracle-Manipulationsexploits hebt Schwachstellen in DeFi-Tresoren hervor

Ein kürzlicher Angriff auf dezentralisierte Finanzen hebt hervor, wie Schwachstellen bei der Standardimplementierung bestimmter DeFi-Tresore von einem raffinierten Bedrohungsakteur ausgenutzt werden können, der vertraute Werkzeuge wie Flash-Kredite verwendet, um Wechselkurse zu manipulieren und Preisorakel in die Irre zu führen. 

Am 27. Februar führte ein Angreifer einen auf Flash-Krediten basierenden "Spendenangriff" durch, indem er etwa 4 Millionen Dollar von Aave lieh, um das ERC-4626 Tresor-Token für Mountain Protocols verpackten ertragsbringenden Stablecoin, wUSDM, auszunutzen und dessen internen Wechselkurs künstlich zu erhöhen. Der zugrunde liegende Stablecoin, USDM, ist durch kurzfristige US-Staatsanleihen besichert.

Im Rahmen des Spendenangriffs erhöhte der Bedrohungsakteur den Wechselkurs von wUSDM von 1,06 auf 1,7 und nutzte dann zwei Konten, um eine Selbstliquidation auf der Kreditplattform Venus Protocol durchzuführen. Obwohl Venus schnell reagierte, um den Markt einzufrieren, gelang es dem Angreifer, etwa 200.000 Dollar zu profitieren, während Venus einen Nettoverlust von über 716.000 Dollar erlitt, wie aus einem kürzlich von der Risikomanagementfirma Chaos Labs veröffentlichten detaillierten Bericht hervorgeht. 

"Beide Teams setzten geeignete Notfallmaßnahmen um – Märkte einfrieren, Risikoparameter anpassen und den Wechselkurs zurücksetzen", sagte Yoni Keselbrener, Leiter von DeFi bei Lightblocks Labs, in einem Interview mit The Block. Keselbrener trägt zur Orakel-Infrastruktur auf eOracle bei, einem Ethereum-nativen Orakel-Netzwerk, das auf EigenLayer entwickelt wurde und die Integration von realen Daten in dezentrale Anwendungen ermöglicht. 

Der angegriffene Tresor implementiert den ERC-4626 Standard für tokenisierte Tresore, der ursprünglich im Mai 2022 eingeführt wurde, obwohl die Tresore später an Popularität gewannen. Der Tresor-Standard "...enthält jedoch keine Schutzmaßnahmen gegen manipulierte Wechselkurse, wenn er in Kreditprotokollen verwendet wird", so der Bericht. 

Die Kreditplattform Euler Finance veröffentlichte im Januar 2024 einen Forschungsbericht über Schwachstellen bei ERC-4626 Tresoren und argumentierte, dass die meisten Tresore keine expliziten Sicherheitsüberprüfungen implementieren, um Wechselkursmanipulationen zu verhindern. "Wir erwarten, dass in vielen Fällen zwei oder mehr Minderungstechniken kombiniert werden müssen, um eine größere Wirkung zu erzielen", schrieben die Autoren. 

Chaos Labs erkannte in seinem Bericht an, dass Sicherheitsstrategien den Angriff hätten verhindern können. "Um diesen Angriffsvektor zu mildern, hätten die wUSDM-Verträge ein kettenübergreifendes Wechselkursorakel verwenden können, oder Venus hätte nach ordnungsgemäßer Offenlegung Sicherheitsmaßnahmen implementiert, um die Wertsteigerung des Wechselkurses zu begrenzen", schrieb Chaos Labs. "Um diesen Angriffsvektor weiter zu mildern, wird ein nach oben begrenztes Orakel-Setup – wie der CAPO-Mechanismus von Aave – für alle ertragsbringenden Vermögenswerte implementiert, um Manipulationen durch künstliche Ertragsspitzen zu verhindern."

"Es gilt übrigens für jeden Tresor, nicht nur für standardisierte", fügte das X-Konto von Curve Finance als Antwort auf einen Thread von Keselbrener hinzu, der die Schwachstelle diskutierte.  "Nur ein häufiger Fehltritt von Kreditplattformen." 

Keselbrener sagte, der CAPO-Standard sei effektiv, erfordere jedoch "...zusätzliche Code-Komplexität und laufende Verwaltung, um sicherzustellen, dass sie das legitime Ertragswachstum nicht einschränken, während sie Manipulationen verhindern." 

"Da DeFi komplexer wird, müssen wir über einfache Preisfeeds hinausdenken, um das gesamte Risikoprofil der Vermögenswerte zu verstehen, die wir integrieren", sagte Keselbrener. "Der Bedarf an kettenübergreifender Orakel-Infrastruktur ist kein Nachteil, sondern eine zusätzliche Sicherheitsschicht. Spezialisierte Orakel-Anbieter können auch spezifische Schutzmaßnahmen implementieren, die darauf ausgelegt sind, genau diese Manipulationsszenarien zu erkennen und zu verhindern."