1/ 在11月4日05:45:11 AM UTC，Moonwell 協議因 Chainlink 預言機故障而被利用，該故障報告了二級市場價格，導致損失達100萬美元。

2/ Chainlink 的 wrsETH 預言機應該報告 1.057；然而，它報告了 1.7m，這是一個 7 個數量級的差異，使攻擊得以實現。

3/ 雖然我們無法確認 Chainlink 的定價方法，但由於與漏洞事件的時間接近，看起來他們依賴於流動性枯竭的池子，這是在 Balancer 漏洞之後。

4/ 有趣的觀察： 1) 節點數量不等於安全性 2) 節點運營者的質量很重要。 下面的截圖顯示，在這一輪價格中，評審意見分歧；一些報告了膨脹的數值，而少數則報告了正確的價格。

5/ Chainlink 的預言機將 wrsETH 價格錯誤定價為 58 億美元 這是實際價格的 170 萬倍。 顯然缺少關鍵的防護措施，例如 CAPO 限制器或數據來源的流動性要求。 提醒一下：價格餵送是風險系統。

6/ 價格預言機與風險預言機是一種錯誤的二分法。 你無法將價格與風險分開。 資產類別正在爆炸性增長： - 包裝資產 - 實體資產 - 衍生品 - 等等。 隨著資產的複雜性增長，「未經審核的數據中位數」已經不再足夠了。

7/ 應該如何定價資產擔保的抵押品？ 對於包裝資產，定價通常遵循主要的匯率。 然而，Moonwell 假設使用 Chainlink 市場預言機，這對於像 wETH 這樣的循環資產來說是一個非標準的選擇。

8/ 使用二級市場利率作為循環抵押是不規則的 - 但這並不是漏洞的直接原因。 真正的問題是結構性問題。

這個漏洞突顯了預言機設計與風險智能之間的缺失連結。 每個整合到市場中的數據來源都應該經過與任何擔保品相同的審查：應進行測試、監控，並受到可執行限制的約束。 預言機是風險系統。

10/ 對於任何對可能的緩解措施感興趣的人 在這種情況下，有幾種方法，從選擇數據源到其實施。 @aave 已經實施了 CAPO 框架，這作為匯率預言機的上限，以防止操縱。