1 / في 4 نوفمبر الساعة 05:45:11 صباحا بالتوقيت العالمي المنسق ، تم استغلال بروتوكول Moonwell عبر عطل أوراكل Chainlink الذي أبلغ عن أسعار السوق الثانوية ، مما أدى إلى خسارة 1 مليون دولار.

2 / يجب أن يكون أوراكل Chainlink wrsETH قد أبلغ عن 1.057 ؛ ومع ذلك ، فقد أبلغت عن 1.7 مليون ، وهو تباين قدره 7 أوامر من حيث الحجم ، مما مكن من الهجوم.

3 / على الرغم من أننا لا نستطيع تأكيد منهجية تسعير Chainlink ، نظرا لقرب الوقت من الاستغلال ، يبدو أنها كانت تعتمد على مجمعات ذات سيولة مستنفدة ، بعد استغلال الموازن.

4 / من المثير للاهتمام ملاحظة: 1) المزيد من العقد ≠ المزيد من الأمان 2) جودة مشغلي العقدة مهمة. تظهر لقطة الشاشة أدناه أنه في جولة الأسعار هذه ، تم تقسيم هيئة المحلفين. أبلغ البعض عن تضخم القيم ، بينما أبلغت الأقلية عن السعر الصحيح.

5 / أخطأ أوراكل Chainlink في تسعير wrsETH بسعر 5.8 مليار دولار كان هذا 1.7 مليون ضعف المعدل الحقيقي. من الواضح أن حواجز الحماية الرئيسية مفقودة ، مثل محددات CAPO أو متطلبات السيولة على مصادر البيانات. تذكير: خلاصات الأسعار هي أنظمة مخاطر.

6 / سعر Oracle مقابل المخاطر Oracle هو انقسام خاطئ. لا يمكنك فصل السعر عن المخاطر. فئات الأصول تنفجر: - الأصول المغلفة - RWAs -المشتقات -الخ. مع نمو تطور الأصول ، لم يعد "متوسط الخلاصات غير المدققة" يقطعها بعد الآن.

7 / ما هو النهج الذي يجب أن يكون عليه لتسعير الضمانات المدعومة بالأصول؟ بالنسبة للأصول الملفوفة ، عادة ما يتبع التسعير سعر الصرف الأساسي. ومع ذلك ، افترض Moonwell استخدام أوراكل سوق Chainlink ، وهو خيار غير قياسي لأصل حلقي مثل wETH.

8/ يعد استخدام سعر السوق الثانوي للحصول على ضمانات حلقية أمرا غير منتظم - لكنه لم يكن السبب المباشر للاستغلال. المشكلة الحقيقية هيكلية.

9 / يسلط هذا الاستغلال الضوء على الحلقة المفقودة بين تصميم Oracle وذكاء المخاطر. يجب أن يخضع كل تغذية بيانات مدمجة في السوق لنفس التدقيق مثل أي ضمان: يجب اختباره ومراقبته وتقييده بحدود قابلة للتنفيذ. الأوراكلات هي أنظمة مخاطر.

10 / لأي شخص مهتم بالتخفيف المحتمل في هذه الحالة ، هناك عدد قليل ، من اختيار الخلاصة إلى تنفيذها. نفذت @aave إطار عمل CAPO ، والذي يعمل كحد أعلى لأوراكل سعر الصرف لمنع التلاعب.