cryptoslate#oracle#defi#hack#امنیت_بلاکچین#قراردادهوشمند

فریب اوراکل کریپتو با قیمت‌های آینده؛ ضرر تا ۲۴ میلیون دلار

۲۶ تیر ۱۴۰۵
فریب اوراکل کریپتو با قیمت‌های آینده؛ ضرر تا ۲۴ میلیون دلار

حمله به اوراکل کریپتو با دستکاری قیمت‌های زمانی؛ خسارت تا ۲۴ میلیون دلار در پروتکل دیفای

یک آسیب‌پذیری جدی در یک اوراکل قیمت‌گذاری غیرمتمرکز کشف شده که به مهاجمان اجازه داده قیمت‌های دستکاری‌شده از آینده را به پروتکل تزریق کنند و تا ۲۴ میلیون دلار از سیستم خارج کنند. اوراکل‌ها ابزارهایی هستند که قراردادهای هوشمند را با داده‌های دنیای واقعی مانند قیمت دارایی‌ها تامین می‌کنند. در این حمله، مهاجم از یک ضعف طراحی در نحوه پردازش داده‌های زمانی اوراکل سوءاستفاده کرد. به‌جای اینکه قیمت لحظه‌ای یا میانگین وزنی زمانی (TWAP) واقعی دریافت شود، سیستم فریب خورد و قیمت‌هایی را قبول کرد که گویی از بازه‌های زمانی آینده یا دستکاری‌شده می‌آمدند. این نوع حمله که گاه «price manipulation via oracle lag» یا «timestamp manipulation» نامیده می‌شود، یکی از خطرناک‌ترین بردارهای حمله در دیفای است. پروتکل هدف که هنوز به‌طور کامل شناسایی نشده، برای محاسبه وثیقه‌ها و تسویه وام‌ها به این داده‌های قیمتی متکی بود. با تزریق قیمت‌های جعلی، مهاجم توانست وثیقه‌هایی با ارزش کمتر را معادل مبالغ بسیار بالاتر نشان دهد و وام‌های بزرگ دریافت کند یا پوزیشن‌های سودآور بگشاید. میزان خسارت بین ۱۰ تا ۲۴ میلیون دلار برآورد شده که بسته به زمان‌بندی معاملات و نرخ‌های بازیابی متفاوت است. تیم امنیتی پروژه و محققان مستقل هنوز در حال بررسی دقیق بردار حمله هستند. این رویداد بار دیگر اهمیت حیاتی طراحی صحیح اوراکل در پروتکل‌های دیفای را به نمایش می‌گذارد. استفاده از TWAP با بازه زمانی کافی، ترکیب چند منبع قیمتی مستقل، و محدودیت‌های انحراف قیمت (circuit breakers) از جمله راه‌حل‌های استانداردی هستند که می‌توانستند از این حمله جلوگیری کنند. برای تریدرهایی که در پروتکل‌های وام‌دهی دیفای فعال هستند، این خبر یک هشدار جدی است که ریسک قراردادهای هوشمند و اوراکل را در ارزیابی‌های خود جدی‌تر بگیرند.
فریب اوراکل کریپتو با قیمت‌های آینده؛ ضرر تا ۲۴ میلیون دلار | اخبار تریدیار | تریدیار