Rapport: Blockchain-prijs Oracle-manipulatie produceert miljoenen aan verliezen, vertoont geen tekenen van vertraging

Op 9 november publiceerde een schrijver van de website samczsun.com een ​​rapport dat een aantal problemen met prijsorakelmanipulatie laat zien als gevolg van een paar blockchain-applicaties. De onderzoeker merkt op dat manipulatie van prijsorakels tot nu toe heeft geleid tot “meer dan $ 30 [miljoen] aan verliezen”.
Volgens de onderzoeker van samczsun.com is er in 2020 een aanzienlijke hoeveelheid prijsorakelmanipulatie geweest. Maandag twitterde hij: “Prijsorakelmanipulatie heeft tot nu toe geleid tot meer dan 30 miljoen verliezen en het vertoont geen tekenen van vertraging.” De tweet werd ook geretweet door de 500.000 volgers van de Twitter-handle van ethereum.org. De tweet van @samczsun leidt ook naar een blogpost op het webportaal van de onderzoeker met de naam: “Dus je wilt een prijsorakel gebruiken.”
In het artikel legt hij uit dat hij eind 2019 een post publiceerde met de titel “Leningen aangaan met onderpand voor de lol en voor winst” en de post legde uit hoe hij ETH-gebaseerde gedecentraliseerde applicaties (dapps) kon aanvallen. De dapps waarover hij schreef, vertrouwen specifiek op prijs-orakelgegevens voor een aantal crypto-activa.
“Het is momenteel eind 2020 en helaas hebben tal van projecten sindsdien zeer vergelijkbare fouten gemaakt”, benadrukt het bericht van samczsun.com. “Met als meest recente voorbeeld de Harvest Finance-hack die resulteerde in een collectief verlies van 33 miljoen USD voor protocolgebruikers.”
In feite is een orakel een protocol dat zowel onchain- als off-chain-gegevens kan opnemen en de gegevens in een blockchain zoals Ethereum kan indienen. Deze orakels worden gebruikt in slimme contracten, geautomatiseerde marktmakers (AMM), handelsplatforms en een van de populaire op ETH gebaseerde orakels is Chainlink. Het rapport over kwetsbaarheden zegt dat ontwikkelaars zich bewust zijn van enkele van de problemen die aan orakels verbonden zijn, maar “prijsorakelmanipulatie is duidelijk niet iets dat vaak wordt overwogen.”
De blogpost voegt toe:

De blogpost is echter niet alleen kritiek en de redactionele artikelen van samczsun.com zijn een inleiding tot orakels, manipulatie van orakels en hoe uitbuiting kan worden beperkt. Verder bespreekt de post zes kwetsbaarheden die in het verleden hebben plaatsgevonden.
De post noemt bijvoorbeeld leningen met onderpand, de Synthetix sKRW oracle-storing, de yVault-bug, Synthetix MKR-manipulatie, de Harvest Finance-hack en ook de Bzx-hack.
Een illustratie van de Synthetix MKR-manipulatie. Foto via Samczsun.com.
Het onderzoek van Samczsun.com geeft ook een overzicht van de problemen met Harvest Finance die plaatsvonden op 26 oktober 2020.
“De aanvaller verlaagde de prijs van USDC in de Curve-pool door een transactie uit te voeren, ging de Harvest-pool binnen tegen de gereduceerde prijs”, aldus de bevindingen. “[De aanvaller] herstelde de prijs door de eerdere transactie terug te draaien en verliet de Harvest-pool voor een hogere prijs. Dit resulteerde in meer dan 33 miljoen USD aan verliezen. ”
Het rapport concludeert dat “prijsorakels een kritiek, maar vaak over het hoofd gezien onderdeel van defi-beveiliging zijn.” Het artikel benadrukt dat er tal van manieren zijn waarop dapps zichzelf in de voet kunnen schieten als ze sommige van deze problemen over het hoofd zien. “Het lezen van prijsinformatie midden in een transactie kan onveilig zijn en kan leiden tot catastrofale financiële schade”, aldus de onderzoekspost.

Het postrapport: Blockchain-prijs Oracle-manipulatie produceert miljoenen aan verliezen, toont geen tekenen van vertraging verscheen voor het eerst op Bitcoin News.