Analisis eksploitasi manipulasi oracle senilai $700k menyoroti kerentanan dalam brankas DeFi

Serangan keuangan terdesentralisasi baru-baru ini menyoroti bagaimana kerentanan dengan implementasi standar dari beberapa vault DeFi dapat dieksploitasi oleh aktor ancaman yang canggih menggunakan alat yang sudah dikenal seperti pinjaman kilat untuk memanipulasi nilai tukar dan menyesatkan oracle harga. 

Pada 27 Februari, seorang penyerang melancarkan "serangan donasi" berbasis pinjaman kilat, meminjam sekitar $4 juta dari Aave untuk mengeksploitasi token vault ERC-4626 untuk stablecoin berbunga terbungkus Mountain Protocol, wUSDM, secara artifisial meningkatkan nilai tukar internalnya. Stablecoin dasar, USDM, dijamin oleh surat utang jangka pendek AS.

Sebagai bagian dari serangan donasi, aktor ancaman meningkatkan nilai tukar wUSDM dari 1,06 menjadi 1,7, kemudian menggunakan dua akun untuk melakukan likuidasi sendiri di platform pinjaman Venus Protocol. Meskipun Venus bereaksi cepat untuk membekukan pasar, penyerang berhasil meraup keuntungan sekitar $200.000, sementara Venus menderita kerugian bersih lebih dari $716.000 sebagai hasilnya, menurut laporan post-mortem yang dirilis oleh perusahaan manajemen risiko Chaos Labs. 

"Kedua tim menerapkan langkah darurat yang tepat — membekukan pasar, menyesuaikan parameter risiko, dan mengatur ulang nilai tukar," kata Yoni Keselbrener, kepala DeFi di Lightblocks Labs, dalam wawancara dengan The Block. Keselbrener berkontribusi pada infrastruktur oracle di eOracle, jaringan oracle asli Ethereum yang dikembangkan di EigenLayer yang memungkinkan integrasi data dunia nyata ke dalam aplikasi terdesentralisasi. 

Vault yang diserang menerapkan standar ERC-4626 untuk vault tokenisasi yang awalnya diperkenalkan pada Mei 2022, meskipun vault kemudian meningkat popularitasnya. Namun, standar vault "...tidak termasuk perlindungan terhadap nilai tukar yang dimanipulasi ketika digunakan dalam protokol pinjaman," menurut post-mortem. 

Platform pinjaman Euler Finance menerbitkan laporan penelitian tentang kerentanan dengan vault ERC-4626 pada Januari 2024, berpendapat bahwa sebagian besar vault tidak secara eksplisit menerapkan pemeriksaan keamanan untuk mencegah manipulasi nilai tukar. "Kami berharap bahwa dalam banyak kasus dua atau lebih mekanisme mitigasi mungkin perlu digabungkan untuk efek yang lebih besar," tulis para penulis. 

Chaos Labs mengakui dalam post-mortemnya bahwa strategi keamanan dapat mencegah serangan tersebut. "Untuk mengurangi vektor serangan ini, kontrak wUSDM dapat menggunakan oracle nilai tukar lintas rantai, atau, setelah pengungkapan yang tepat, Venus akan menerapkan langkah-langkah keamanan untuk membatasi apresiasi nilai tukar," tulis Chaos Labs. "Untuk lebih mengurangi vektor serangan ini, pengaturan oracle dengan batas atas—seperti mekanisme CAPO Aave—akan diterapkan untuk semua aset berbunga, mencegah manipulasi melalui lonjakan hasil artifisial."

"Ini berlaku untuk setiap vault [omong-omong], tidak hanya yang distandarisasi," tambah akun X dari Curve Finance menanggapi thread oleh Keselbrener yang membahas kerentanan tersebut.  "Hanya kesalahan umum oleh platform pinjaman." 

Keselbrener mengatakan standar CAPO efektif, tetapi memerlukan "...kompleksitas kode tambahan dan manajemen berkelanjutan untuk memastikan mereka tidak membatasi pertumbuhan hasil yang sah sambil mencegah manipulasi." 

"Seiring DeFi menjadi lebih kompleks, kita perlu berpikir melampaui umpan harga sederhana untuk memahami seluruh profil risiko dari aset yang kita integrasikan," kata Keselbrener. "Kebutuhan akan infrastruktur oracle lintas rantai bukanlah kelemahan tetapi lapisan keamanan tambahan. Penyedia oracle khusus juga dapat menerapkan perlindungan spesifik yang dirancang untuk mendeteksi dan mencegah skenario manipulasi ini."