1/ 4 листопада о 05:45:11 UTC протокол Moonwell був використаний через збій в оракулі Chainlink, який повідомив про ціни на вторинному ринку, що призвело до збитків в 1 мільйон доларів.

2. Оракул Chainlink wrsETH повинен був повідомити про 1,057; Однак він повідомив про 1,7 м, що є розбіжністю в 7 порядків, що дозволило атаку.

3. Хоча ми не можемо підтвердити методологію ціноутворення Chainlink, через близькість часу до експлойту, схоже, вони залежали від пулів із виснаженою ліквідністю, після експлойту Balancer.

4/ Цікаво спостерігати: 1) Більше вузлів ≠ більше безпеки 2) має значення якість операторів вузлів. На скріншоті нижче видно, що в цьому ціновому раунді журі розділилося; Деякі повідомляли про завищені значення, тоді як меншість повідомляла про правильну ціну.

5/ Оракул Chainlink неправильно оцінив wrsETH у $5,8 млрд Це в 1,7 млн разів перевищило реальний показник. Явно відсутні ключові огородження, такі як обмежувачі CAPO або вимоги до ліквідності на джерелах даних. Нагадуємо: цінові стрічки – це системи ризиків.

6. Price Oracle проти Risk Oracle – це хибна дихотомія. Ви не можете відокремити ціну від ризику. Класи активів стрімко зростають: - Обгорнуті активи - RWA -Похідні -Тощо. У міру того, як складність активів зростає, «медіана неперевірених кормів» більше не скорочує її.

7. Яким має бути підхід до ціноутворення застави, забезпеченої активами? Для обгорнутих активів ціноутворення зазвичай відбувається за основним обмінним курсом. Тим не менш, Moonwell припустив використання ринкового оракула Chainlink, що є нестандартним вибором для такого циклічного активу, як wETH.

8/ Використання вторинної ринкової ставки для циклічної застави є нерегулярним, але це не було безпосередньою причиною експлойту. Справжня проблема – структурна.

9. Цей експлойт підкреслює відсутню ланку між дизайном Oracle та аналізом ризиків. Кожен канал даних, інтегрований у ринок, повинен проходити таку ж ретельну перевірку, як і будь-яке інше забезпечення: його слід тестувати, контролювати та обмежувати обмеженнями, що підлягають виконанню. Оракули – це системи ризиків.

10/ Для всіх, хто цікавиться можливими пом'якшеннями В даному випадку їх декілька, починаючи від підбору корму і закінчуючи його реалізацією. @aave впровадила фреймворк CAPO, який слугує верхньою межею для оракулів обмінного курсу для запобігання маніпуляціям.