1/ 11月4日午前05時45分11秒(UTC)に、Moonwellプロトコルは、流通市場価格を報告するChainlinkオラクルの誤動作を介して悪用され、100万ドルの損失につながりました。

2/ Chainlink wrsETH オラクルは 1.057 を報告するはずです。しかし、7桁の乖離である1.7mを報告し、攻撃を可能にした。

3/ Chainlink の価格設定方法を確認することはできませんが、エクスプロイトに時間が近いため、Balancer エクスプロイト後、流動性が枯渇したプールに依存していたようです。

4/ 観察するのは興味深い: 1) より多くのノード≠セキュリティの向上 2) ノードオペレーターの品質が重要です。 下のスクリーンショットは、この価格ラウンドで陪審員が分裂したことを示しています。一部の人は価値を水増ししたと報告し、少数派は正しい価格を報告しました。

5/ Chainlink のオラクルは wrsETH の価格を $5.8B に誤って設定しました これは実際のレートの1.7m倍でした。 CAPOリミッターやデータソースの流動性要件など、主要なガードレールが明らかに欠けています。 注意:価格フィードはリスクシステムです。

6/ 価格オラクルとリスクオラクルは誤った二分法です。 価格とリスクを分離することはできません。 資産クラスは爆発的に増加しています。 - ラップされたアセット - RWA -誘導 体 -等。 資産が洗練されるにつれて、「未検証のフィードの中央値」はもはや意味がありません。

7/ 資産担保担保の価格設定にはどのようなアプローチをすべきですか? ラップされた資産の場合、価格設定は通常、一次為替レートに従います。 ただし、Moonwell は、wETH のようなループ資産の非標準的な選択肢である Chainlink マーケット オラクルの使用を想定しました。

8/ループ担保に流通市場レートを使用することは不規則ですが、それがエクスプロイトの直接的な原因ではありませんでした。 本当の問題は構造的です。

9/ このエクスプロイトは、オラクルの設計とリスクインテリジェンスの間のミッシングリンクを浮き彫りにしています。 市場に統合されたすべてのデータフィードは、他の担保と同じ精査を受ける必要があります:テスト、監視、強制力のある制限による制限が必要です。 オラクルはリスクシステムです。

10/ 可能な緩和策に関心のある方へ この場合、フィードの選択からその実装まで、いくつかあります。 @aaveは、操作を防ぐための為替レートオラクルの上限として機能するCAPOフレームワークを実装しています。