1/ 4. listopadu v 05:45:11 UTC byl protokol Moonwell zneužit prostřednictvím poruchy orákula Chainlink, která hlásila ceny na sekundárním trhu, což vedlo ke ztrátě 1 milion dolarů.

2/ Orákulum Chainlink wrsETH mělo hlásit 1.057; Uváděla však 1,7 m, což je odchylka 7 řádů, což umožnilo útok.

3/ I když nemůžeme potvrdit metodiku oceňování Chainlinku, kvůli časové blízkosti k exploitu to vypadá, že byli závislí na poolech s vyčerpanou likviditou, po exploitu Balancer.

4/ Zajímavé pozorování: 1) Více uzlů ≠ větší bezpečnost 2) Záleží na kvalitě provozovatelů uzlů. Snímek obrazovky níže ukazuje, že v tomto cenovém kole byla porota rozdělena; Někteří uváděli nadsazené hodnoty, zatímco menšina uváděla správnou cenu.

5/ Oracle společnosti Chainlink špatně ocenil wrsETH na 5,8 miliardy USD To byl 1,7 mil. násobek skutečné míry. Zjevně chybí klíčové mantinely, jako jsou limitery CAPO nebo požadavky na likviditu datových zdrojů. Připomeňme, že cenové kanály jsou rizikové systémy.

6/ Cena Oracle vs. riziko Oracle je falešná dichotomie. Nemůžete oddělit cenu od rizika. Třídy aktiv explodují: - zabalené datové zdroje - RWA -odvozuje -atd. S rostoucí sofistikovaností datových zdrojů už "medián neprověřených zdrojů" nestačí.

7/ Jaký by měl být přístup k oceňování kolaterálu krytého aktivy? U zabalených datových zdrojů se ceny obvykle řídí primárním směnným kurzem. Moonwell však předpokládal použití tržního orákula Chainlink, což je nestandardní volba pro aktivum ve smyčce, jako je wETH.

8/ Použití sekundární tržní sazby pro kolaterál ve smyčce je neobvyklé – ale nebylo to přímou příčinou zneužití. Skutečný problém je strukturální.

9/ Toto zneužití zdůrazňuje chybějící článek mezi návrhem Oracle a informacemi o rizicích. Každý datový zdroj integrovaný do trhu by měl být podroben stejné kontrole jako jakýkoli kolaterál: měl by být testován, monitorován a ohraničen vymahatelnými limity. Orákula jsou rizikové systémy.

10/ Pro všechny zájemce o možná zmírnění V tomto případě jich je několik, od výběru krmiva až po jeho implementaci. @aave implementovala rámec CAPO, který slouží jako horní limit pro orákula směnných kurzů, aby se zabránilo manipulaci.