1/ El 4 de noviembre a las 05:45:11 AM UTC, el protocolo Moonwell fue explotado a través de un mal funcionamiento del oráculo de Chainlink que informó los precios del mercado secundario, lo que provocó una pérdida de USD 1 millón.

2/ El oráculo de Chainlink wrsETH debería haber reportado 1.057; sin embargo, reportó 1,7 m, una discrepancia de 7 órdenes de magnitud, lo que permitió el ataque.

3/ Si bien no podemos confirmar la metodología de precios de Chainlink, debido a la proximidad temporal del exploit, parece que dependían de grupos con liquidez agotada, después del exploit de Balancer.

4/ Interesante de observar: 1) Más nodos ≠ más seguridad 2) La calidad de los operadores de nodos importa. La siguiente captura de pantalla muestra que en esta ronda de precios, el jurado estaba dividido; algunos informaron valores inflados, mientras que la minoría informó el precio correcto.

5/ El oráculo de Chainlink fijó mal el precio de wrsETH en $ 5.8 mil millones Esto fue 1,7 millones de veces la tasa real. Claramente faltan barreras clave, como limitadores de CAPO o requisitos de liquidez en las fuentes de datos. Un recordatorio: las fuentes de precios son sistemas de riesgo.

6/ Oráculo de precios vs. oráculo de riesgo es una falsa dicotomía. No se puede separar el precio del riesgo. Las clases de activos están explotando: - activos envueltos - RWA -Derivados -etcetera. A medida que crece la sofisticación de los activos, la "mediana de los feeds no examinados" ya no es suficiente.

7/ ¿Cuál debería ser el enfoque para fijar el precio de las garantías respaldadas por activos? Para los activos envueltos, el precio generalmente sigue el tipo de cambio primario. Sin embargo, Moonwell asumió el uso del oráculo de mercado Chainlink, una opción no estándar para un activo en bucle como wETH.

8/ El uso de una tasa de mercado secundario para una garantía en bucle es irregular, pero no fue la causa directa del exploit. El verdadero problema es estructural.

9/ Este exploit pone de manifiesto el eslabón perdido entre el diseño de Oracle y la inteligencia de riesgos. Cada fuente de datos integrada en un mercado debe someterse al mismo escrutinio que cualquier garantía: debe ser probada, monitoreada y limitada por límites exigibles. Los oráculos son sistemas de riesgo.

10/ Para cualquier persona interesada en posibles mitigaciones En este caso, hay algunos, desde la selección del alimento hasta la implementación del mismo. @aave ha implementado el marco CAPO, que sirve como límite superior para los oráculos de tipo de cambio para evitar la manipulación.