1/ 4 Kasım 05:45:11 UTC'de Moonwell protokolü, ikincil piyasa fiyatlarını bildiren ve 1 milyon dolarlık bir kayba yol açan bir Chainlink oracle arızası yoluyla istismar edildi.

2/ Chainlink wrsETH oracle'ı 1.057 rapor etmeliydi; ancak, saldırıyı mümkün kılan 7 büyüklük sırası tutarsızlığı olan 1,7 milyon bildirdi.

3/ Chainlink fiyatlandırma metodolojisini doğrulayamasak da, istismara zaman yakınlığı nedeniyle, Balancer istismarından sonra likiditesi tükenmiş havuzlara bağımlı gibi görünüyorlar.

4/ Gözlemlemek ilginç: 1) Daha fazla düğüm ≠ daha fazla güvenlik 2) Düğüm operatörlerinin kalitesi önemlidir. Aşağıdaki ekran görüntüsü, bu fiyat turunda jürinin bölündüğünü gösteriyor; bazıları şişirilmiş değerler bildirirken, azınlık doğru fiyatı bildirdi.

5/ Chainlink'in oracle'ı wrsETH'yi 5.8 Milyar Dolar Olarak Yanlış Fiyatlandırdı Bu, gerçek oranın 1.7 milyon katıydı. CAPO sınırlayıcıları veya veri kaynaklarındaki likidite gereksinimleri gibi önemli korkuluklar açıkça eksik. Bir hatırlatma: fiyat akışları risk sistemleridir.

6/ Fiyat Kahini ve Risk Kahini yanlış bir ikilemdir. Fiyatı riskten ayıramazsınız. Varlık sınıflarında patlama yaşanıyor: - Sarılmış varlıklar - RWA'lar -Türev -leri -ve saire. Varlıkların karmaşıklığı arttıkça, "incelenmemiş yayınların medyanı" artık yeterli değil.

7/ Varlığa dayalı teminatın fiyatlandırılmasında yaklaşım nasıl olmalıdır? Sarılmış varlıklar için fiyatlandırma genellikle birincil döviz kurunu takip eder. Ancak Moonwell, wETH gibi döngüsel bir varlık için standart olmayan bir seçim olan Chainlink piyasa oracle'ının kullanıldığını varsaydı.

8/ Döngüsel bir teminat için ikincil piyasa oranının kullanılması düzensizdir - ancak istismarın doğrudan nedeni bu değildi. Asıl sorun yapısaldır.

9/ Bu istismar, Oracle tasarımı ile risk istihbaratı arasındaki eksik halkayı vurgulamaktadır. Bir piyasaya entegre edilen her veri akışı, herhangi bir teminatla aynı incelemeye tabi tutulmalıdır: test edilmeli, izlenmeli ve uygulanabilir sınırlarla sınırlandırılmalıdır. Oracle'lar risk sistemleridir.

10/ Olası hafifletmelerle ilgilenen herkes için Bu durumda, yemin seçiminden uygulanmasına kadar birkaç tane vardır. @aave, manipülasyonu önlemek amacıyla döviz kuru oracle'ları için bir üst sınır görevi gören CAPO çerçevesini uygulamaya koydu.