1/ Pe 4 noiembrie la 05:45:11 AM UTC, protocolul Moonwell a fost exploatat printr-o defecțiune a oracolului Chainlink care a raportat prețurile pieței secundare, ceea ce a dus la o pierdere de 1 milion de dolari.

2/ Oracolul Chainlink wrsETH ar fi trebuit să raporteze 1.057; cu toate acestea, a raportat 1,7 milioane, o discrepanță de 7 ordine de mărime, permițând atacul.

3/ Deși nu putem confirma metodologia de stabilire a prețurilor Chainlink, din cauza apropierii de timp față de exploit, se pare că acestea au fost dependente de pool-uri cu lichiditate epuizată, după exploit-ul Balancer.

4/ Interesant de observat: 1) mai multe noduri ≠ mai multă securitate 2) Calitatea operatorilor de noduri contează. Captura de ecran de mai jos arată că în această rundă de prețuri, juriul a fost împărțit; unii au raportat valori umflate, în timp ce minoritatea a raportat prețul corect.

5/ Oracolul lui Chainlink a avut un preț greșit wrsETH la 5.8 miliarde USD Aceasta a fost de 1,7 milioane de ori mai mare decât rata reală. Lipsesc în mod clar bariere de protecție cheie, cum ar fi limitatorii CAPO sau cerințele de lichiditate pentru sursele de date. Un memento: fluxurile de prețuri sunt sisteme de risc.

6/ Preț Oracle vs. Risc Oracle este o dihotomie falsă. Nu puteți separa prețul de risc. Clasele de active explodează: - active împachetate - RWA -Derivate -etc. Pe măsură ce sofisticarea activelor crește, "mediana furajelor neverificate" nu mai este suficientă.

7/ Care ar trebui să fie abordarea pentru stabilirea prețului garanțiilor garantate cu active? Pentru activele împachetate, prețul urmează de obicei cursul de schimb primar. Cu toate acestea, Moonwell a presupus utilizarea oracolului de piață Chainlink, o alegere non-standard pentru un activ în buclă precum wETH.

8/ Utilizarea unei rate de piață secundară pentru o garanție în buclă este neregulată - dar nu a fost cauza directă a exploit-ului. Adevărata problemă este structurală.

9/ Acest exploit evidențiază veriga lipsă dintre designul Oracle și informațiile de risc. Fiecare flux de date integrat într-o piață ar trebui să fie supus aceluiași control ca orice garanție: ar trebui să fie testat, monitorizat și limitat de limite aplicabile. Oracolele sunt sisteme de risc.

10/ Pentru oricine este interesat de posibile atenuări În acest caz, există câteva, de la selectarea furajului până la implementarea acestuia. @aave a implementat cadrul CAPO, care servește drept limită superioară pentru oracolele cursului de schimb pentru a preveni manipularea.