cryptoslate#oracle#defi#hack#امنیت_بلاکچین#قراردادهوشمند
فریب اوراکل کریپتو با قیمتهای آینده؛ ضرر تا ۲۴ میلیون دلار
۲۶ تیر ۱۴۰۵
حمله به اوراکل کریپتو با دستکاری قیمتهای زمانی؛ خسارت تا ۲۴ میلیون دلار در پروتکل دیفای
یک آسیبپذیری جدی در یک اوراکل قیمتگذاری غیرمتمرکز کشف شده که به مهاجمان اجازه داده قیمتهای دستکاریشده از آینده را به پروتکل تزریق کنند و تا ۲۴ میلیون دلار از سیستم خارج کنند.
اوراکلها ابزارهایی هستند که قراردادهای هوشمند را با دادههای دنیای واقعی مانند قیمت داراییها تامین میکنند. در این حمله، مهاجم از یک ضعف طراحی در نحوه پردازش دادههای زمانی اوراکل سوءاستفاده کرد. بهجای اینکه قیمت لحظهای یا میانگین وزنی زمانی (TWAP) واقعی دریافت شود، سیستم فریب خورد و قیمتهایی را قبول کرد که گویی از بازههای زمانی آینده یا دستکاریشده میآمدند.
این نوع حمله که گاه «price manipulation via oracle lag» یا «timestamp manipulation» نامیده میشود، یکی از خطرناکترین بردارهای حمله در دیفای است. پروتکل هدف که هنوز بهطور کامل شناسایی نشده، برای محاسبه وثیقهها و تسویه وامها به این دادههای قیمتی متکی بود. با تزریق قیمتهای جعلی، مهاجم توانست وثیقههایی با ارزش کمتر را معادل مبالغ بسیار بالاتر نشان دهد و وامهای بزرگ دریافت کند یا پوزیشنهای سودآور بگشاید.
میزان خسارت بین ۱۰ تا ۲۴ میلیون دلار برآورد شده که بسته به زمانبندی معاملات و نرخهای بازیابی متفاوت است. تیم امنیتی پروژه و محققان مستقل هنوز در حال بررسی دقیق بردار حمله هستند.
این رویداد بار دیگر اهمیت حیاتی طراحی صحیح اوراکل در پروتکلهای دیفای را به نمایش میگذارد. استفاده از TWAP با بازه زمانی کافی، ترکیب چند منبع قیمتی مستقل، و محدودیتهای انحراف قیمت (circuit breakers) از جمله راهحلهای استانداردی هستند که میتوانستند از این حمله جلوگیری کنند. برای تریدرهایی که در پروتکلهای وامدهی دیفای فعال هستند، این خبر یک هشدار جدی است که ریسک قراردادهای هوشمند و اوراکل را در ارزیابیهای خود جدیتر بگیرند.