<img onerror="this.className=`errimg`" src="5millioninanExploit_web.jpg" 5millioninanexploit_web.jpg"="" alt="" class="errimg">
ในสัปดาห์แห่งการสูญเสียอย่างหนักสำหรับโครงการ Defi Inverse Finance โปรโตคอลที่ใช้ Defi อื่นสูญเสียไป 15 ล้านดอลลาร์ในการหาประโยชน์ ภายในสัปดาห์ของวันที่ 27 มีนาคมถึง 2 เมษายน Ronin Network ถูกฉวยประโยชน์มูลค่า 625 ล้านดอลลาร์ ซึ่งปัจจุบันถือเป็นการแสวงหาผลประโยชน์ครั้งใหญ่ที่สุดในประวัติศาสตร์ของ Defi
ภายในสัปดาห์นั้น Ola Finance ยังประกาศว่าพวกเขาถูกเอารัดเอาเปรียบเป็นเงิน 4.6 ล้านดอลลาร์
Inverse Finance เป็นโปรโตคอลการให้ยืมแบบ Ethereum และถูกสร้างขึ้นในปี 2020 เติบโตขึ้นจนกลายเป็น Decentralized Autonomous Organization (DAO) โดยมีโทเค็น INV เป็นโทเค็นการกำกับดูแลสำหรับระบบนิเวศ ผลิตภัณฑ์อื่น ๆ ที่นำเสนอคือโทเค็น DOLA ซึ่งเป็นสกุลเงิน USD ที่มีเสถียรภาพซึ่งช่วยให้สามารถยืมโปรโตคอลได้ Anchor คือตลาดเงินที่อำนวยความสะดวกในการกู้ยืมผ่าน
DOLA หรือโทเค็นอื่นๆ เช่น ETH
การเอารัดเอาเปรียบเกิดขึ้นได้อย่างไร?
ใน
โพสต์ Twitter Inverse Finance รายงานว่าตลาดเงิน Anchor ได้รับการจัดการ ตามทวีตแฮ็กเกอร์ใช้ประโยชน์จากการละเมิดความปลอดภัยในโปรโตคอล Sushiswap Oracle ที่อนุญาตให้ยืม DOLA, ETH, WBTC และ YFI มูลค่า 15.6 ล้านดอลลาร์
Peckshield ซึ่งเป็นบริษัทรักษาความปลอดภัยและวิเคราะห์ข้อมูลบล็อกเชน ได้เผยแพร่ทวีตเกี่ยวกับสถานการณ์ดังกล่าว ตามทวีตแฮ็กเกอร์ใช้ประโยชน์จากราคาบั๊กการจัดการของ Oracle แฮ็กเกอร์จัดการราคา INV เพื่อให้มีราคาเพิ่มขึ้นอย่างรวดเร็ว และใช้เป็นหลักประกันในการกู้ยืมเงินจากแพลตฟอร์ม ตาม
รายงานของ Etherscan มีการโอนโทเค็นเก้ารายการระหว่างการทำธุรกรรม แฮ็กเกอร์ขโมย 1,588 ETH, 1,156 xINV, 94 WBTC, 4,000 DOLA, 1,780 INV, 39 YFI ซึ่งทั้งหมดมีมูลค่า 15.6 ล้านดอลลาร์
ผลพวงของการเอารัดเอาเปรียบ
หลังจากการใช้ประโยชน์ Inverse Finance กำลังพยายามชำระคืนผู้ใช้ที่ได้รับผลกระทบทั้งหมด พวกเขายังหยุดการกู้ยืมเงินในตลาดเงิน Anchor ชั่วคราวเนื่องจากมีเป้าหมายเพื่อแก้ไขสถานการณ์ การเป็น DAO ที่มีผลประโยชน์สาธารณะค่อนข้างมาก Inverse Finance ได้จัด Twitter Space ซึ่งพวกเขาได้ให้ข้อมูลอัปเดตแก่ผู้มีส่วนได้ส่วนเสียใน DAO
การอัปเดตบางส่วนจาก Twitter Space รวมถึง
Chainlink จะแทนที่ TWAP Oracle ซึ่งใช้ในตลาดเงิน Anchor อย่างไรก็ตาม การอัพเกรดจะเกิดขึ้นเมื่อฟีดราคา INV ตรงตามข้อกำหนดด้านสภาพคล่อง ผู้ใช้ Twitter ชื่อ "ChainLinkGod" ซึ่งทำหน้าที่เป็นทูตชุมชนสำหรับ Chainlink ได้ให้รายละเอียดเล็กน้อยเกี่ยวกับนัยบางประการของบั๊ก oracle ของ TWAP ได้แก่
สำหรับผู้เริ่มต้นบล็อกเชนหลายคน แนวคิดหนึ่งที่ถูกนำมาเปิดเผยผ่านช่องโหว่นี้คือ oracles แฮ็กเกอร์ Inverse Finance ใช้ประโยชน์จากช่องโหว่ใน TWAP oracle ตอนนี้คำถามคือ Oracles คืออะไร?
Oracle คืออะไร?
ออราเคิลในบล็อคเชนอธิบายบุคคลที่สามที่ให้ข้อมูลที่เชื่อถือได้นอกเหนือจากที่มีอยู่ในบล็อคเชน โดยพื้นฐานแล้วเหมือนกับพยากรณ์ในสมัยก่อน พวกเขาสามารถเข้าถึงข้อมูลที่อยู่นอกพื้นที่สาธารณะได้ ในกรณีของบล็อคเชน พวกมันไม่ได้ถูกสร้างขึ้นเพื่อโต้ตอบกับแหล่งข้อมูลสาธารณะ และจะเก็บข้อมูลที่สร้างขึ้นภายในเชนเป็นหลัก ดังนั้นจึงมีความจำเป็นสำหรับโปรโตคอลเพิ่มเติมก่อนที่จะสามารถโต้ตอบกับแหล่งที่มานอกเครือข่ายได้
ในกรณีที่สัญญาอัจฉริยะอิงตามเหตุการณ์นอกบล็อคเชน จำเป็นต้องใช้ออราเคิลเพื่อให้แน่ใจว่าการส่งข้อมูลอย่างปลอดภัยจากแหล่งนอกเครือข่ายไปยังแหล่งบนเครือข่าย
สำหรับกรณีของ Anchor Money Market โดย Inverse Finance นั้น Uniswap Time Weighted Average Protocol (TWAP) เป็นคำทำนายราคาที่ใช้ในการระบุอัตราแลกเปลี่ยนระหว่างโทเค็นที่ใช้ Ethereum Chainlink คืออะไรChainlink เป็นเครือข่ายกระจายอำนาจของ oracles ที่จัดเตรียมข้อมูลจากแหล่งนอกเชนไปยังแหล่งบนเชน ช่วยเชื่อมต่อสัญญาอัจฉริยะกับข้อมูลในโลกแห่งความเป็นจริงนอก blockchain ในลักษณะที่ปลอดภัย Chainlink เป็นเครือข่ายที่ใช้ Ethereum และได้รับการคุ้มครองโดยกลไกฉันทามติ Proof-of-Stake
เช่นเดียวกับ TWAP Chainlink ยังมีฟีดราคาสำหรับโทเค็นที่ใช้ Ethereum ในบทความนี้โดย
SmartContent มีการเปรียบเทียบระหว่าง Chainlink และ TWAP ข้อดีเปรียบเทียบที่ชัดเจนอย่างหนึ่งที่ Chainlink มีเหนือ TWAP ดังที่ระบุไว้ในรายงานและทวีตโดย ChainLinkGod คือการสุ่มตัวอย่างเวลา TWAP สั้นเกินไป
ข้อได้เปรียบที่สำคัญอีกประการหนึ่งตามที่ระบุไว้ในบทความคือ TWAP ไม่มีการรักษาความปลอดภัยที่ปรับขนาดได้ ในขณะที่ Chainlink Price Feeds ให้การปกป้องที่สูงกว่าแก่เครือข่าย oracle เมื่อมูลค่าเพิ่มขึ้น
บทสรุป
บทความระดับกลาง โดย Nour Haridy ผู้ก่อตั้ง Inverse Finance ให้รายละเอียดว่าแพลตฟอร์มนี้คาดว่าจะทำงานอย่างไร หลังจากเหตุการณ์ที่โชคร้าย แฮ็กเกอร์ไม่ได้สื่อสารแม้ว่าพวกเขาได้เสนอเงินรางวัลสำหรับการคืนเงินที่หายไป
เป็นที่คาดหวังว่าแพลตฟอร์ม Defi จะดำเนินการตามขั้นตอนที่สำคัญเพื่อป้องกันเหตุการณ์ที่เกิดขึ้นซ้ำอีก
ผู้แต่ง: Gate.io ผู้สังเกตการณ์:
M. Olatunji
ข้อจำกัดความรับผิดชอบ:
* บทความนี้เป็นเพียงความคิดเห็นของผู้สังเกตการณ์เท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ
*Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์