В конце февраля в экосистеме DeFi произошёл резонансный инцидент: злоумышленник провёл успешную атаку на кредитный протокол Venus Protocol, спровоцировав убытки на сумму более $716 000. Эксперты Chaos Labs провели детальный анализ и установили, что корень проблемы кроется в уязвимостях, связанных с манипуляцией оракулами и использованием токенов хранилищ стандарта ERC-4626.

Сценарий атаки основывался на использовании «donation attack» через мгновенный заём у Aave на сумму около $4 млн. Получив ликвидность, атакующий взаимодействовал с токеном wUSDM — обернутым доходным стейблкоином от Mountain Protocol. Благодаря искусственному завышению внутреннего курса актива с $1,06 до $1,7, он получил возможность воспользоваться кредитной платформой Venus в свою пользу.

Применив два различных аккаунта, атакующий осуществил самоликвидацию позиций и вывел прибыль порядка $200 000, в то время как Venus Protocol понёс убытки в 3,5 раза больше. Протокол оперативно отреагировал — заморозил рынки и провёл ребалансировку ценовых индикаторов. Однако ущерб был нанесён.

Как отметил Йони Кесельбренер из Lightblocks Labs, уязвимость связана не столько с конкретным активом, сколько с архитектурой стандартов хранения и слабой реализацией ценовых фильтров. Стандарт ERC-4626, разработанный для унификации работы доходных хранилищ, не включает механизмов защиты от резких и необоснованных скачков внутренней стоимости активов.

Chaos Labs, а также Euler Finance и Curve Finance, пришли к единому выводу: системы ценообразования DeFi нуждаются в дополнительной защите. Одним из решений может стать внедрение ценовых потолков, аналогичных CAPO от Aave. Такой подход позволяет ограничить максимально допустимую стоимость актива, что делает невозможными манипуляции через искусственное завышение курсов.

Тем не менее, как подчеркнул Кесельбренер, подобные механизмы требуют сложной архитектуры смарт-контрактов и постоянного управления. Он также указал на необходимость развития кроссчейн-оракулов, способных предоставлять более надёжные и защищённые данные, включая защиту от ценовых аномалий.

Инцидент с Venus Protocol стал очередным напоминанием: высокая доходность в DeFi часто идёт рука об руку с высокими рисками. Без своевременного укрепления инфраструктуры, подобных атак в будущем не избежать.

Источник