1/ 4. november kl. 05:45:11 UTC ble Moonwell-protokollen utnyttet via en Chainlink-orakelfeil som rapporterte annenhåndsmarkedspriser, noe som førte til et tap på 1 million dollar.

2/ Chainlink wrsETH-oraklet burde ha rapportert 1.057; den rapporterte imidlertid 1,7 meter, et avvik på 7 størrelsesordener, noe som muliggjorde angrepet.

3/ Selv om vi ikke kan bekrefte Chainlink-prisingsmetodikken, på grunn av tidsnærheten til utnyttelsen, ser det ut til at de var avhengige av pooler med utarmet likviditet, etter Balancer-utnyttelsen.

4/ Interessant å observere: 1) Flere noder ≠ mer sikkerhet 2) Kvaliteten på nodeoperatører betyr noe. Skjermbildet nedenfor viser at juryen i denne prisrunden var delt; Noen rapporterte oppblåste verdier, mens minoriteten rapporterte riktig pris.

5/ Chainlinks orakel feilpriset wrsETH til 5,8 milliarder dollar Dette var 1,7 millioner ganger den reelle raten. Mangler tydeligvis viktige rekkverk, for eksempel CAPO-begrensere eller likviditetskrav på datakilder. En påminnelse: prisstrømmer er risikosystemer.

6/ Price Oracle vs. Risk Oracle er en falsk dikotomi. Du kan ikke skille pris fra risiko. Aktivaklasser eksploderer: - innpakkede eiendeler - RWA-er -Derivater -etc. Etter hvert som raffinementet av eiendeler vokser, kutter ikke "medianen av ukontrollerte feeder" det lenger.

7/ Hva bør være tilnærmingen for prising av sikkerhet med sikkerhet i eiendeler? For innpakkede eiendeler følger prisingen vanligvis den primære valutakursen. Moonwell antok imidlertid bruken av Chainlink-markedsoraklet, et ikke-standard valg for en looping-eiendel som wETH.

8/ Å bruke en annenhåndsmarkedsrente for en looping-sikkerhet er uregelmessig - men det var ikke den direkte årsaken til utnyttelsen. Det virkelige problemet er strukturelt.

9/ Denne utnyttelsen fremhever den manglende koblingen mellom Oracle-design og risikointelligens. Hver datastrøm integrert i et marked bør gjennomgå samme gransking som enhver sikkerhet: den bør testes, overvåkes og avgrenses av håndhevbare grenser. Orakler er risikosystemer.

10/ For alle som er interessert i mulige avbøtende tiltak I dette tilfellet er det noen få, fra valg av fôr til implementering av det. @aave har implementert CAPO-rammeverket, som fungerer som en øvre grense for valutakursorakler for å forhindre manipulasjon.