Bericht: Blockchain-Preis Oracle-Manipulation verursacht Verluste in Millionenhöhe und zeigt keine Anzeichen einer Verlangsamung
Am 9. November veröffentlichte ein Autor der Website samczsun.com einen Bericht, der eine Reihe von Problemen mit der Manipulation von Preisorakeln aufzeigt, die sich aus einigen Blockchain-Anwendungen ergeben. Der Forscher stellt fest, dass die Manipulation von Preisorakeln „bisher zu Verlusten von über 30 Millionen US-Dollar geführt hat“.
Nach Angaben des Forschers aus samczsun.com Im Jahr 2020 gab es eine erhebliche Menge an Manipulationen an Preisorakeln. Am Montag hat er getwittert: "Die Manipulation von Preisorakeln hat bisher zu Verlusten von über 30 Millionen geführt und zeigt keine Anzeichen einer Verlangsamung." Der Tweet wurde auch von den 500.000 Followern des Twitter-Handles von ethereum.org retweetet. Der Tweet von @samczsun führt auch zu einem Blog-Beitrag auf dem Webportal des Forschers mit dem Titel: "Sie möchten also ein Preisorakel verwenden."
In dem Artikel erklärt er, dass er Ende 2019 einen Beitrag mit dem Titel „Unterbesicherte Kredite zum Spaß und zum Profit aufnehmen”Und der Beitrag erklärte, wie er dezentrale Anwendungen (dapps) auf ETH-Basis angreifen könnte. Die Dapps, über die er schrieb, basieren speziell auf Preis-Orakel-Daten für eine Reihe von Krypto-Assets.
"Es ist derzeit Ende 2020 und leider haben seitdem zahlreiche Projekte sehr ähnliche Fehler gemacht", betont der Beitrag von samczsun.com. "Das jüngste Beispiel ist der Harvest Finance-Hack, der zu einem kollektiven Verlust von 33 Mio. USD für Protokollbenutzer führte."
Grundsätzlich ist ein Orakel ein Protokoll, das sowohl Onchain- als auch Off-Chain-Daten aufzeichnen und die Daten in einer Blockchain wie Ethereum übermitteln kann. Diese Orakel werden in intelligenten Verträgen verwendet. automatisierte Market Maker (AMM), Handelsplattformen und eines der beliebtesten Orakel der ETH ist Chainlink. Der Bericht über Sicherheitslücken besagt, dass Entwickler sich einiger Probleme im Zusammenhang mit Orakeln bewusst sind, aber „die Manipulation von Preis-Orakeln wird eindeutig nicht oft in Betracht gezogen.“
Der Blog-Beitrag fügt hinzu:
Umgekehrt sind Exploits, die auf Wiedereintritt beruhen, im Laufe der Jahre zurückgegangen, während Exploits, die auf Preis-Orakel-Manipulationen beruhen, jetzt zunehmen.
Der Blog-Beitrag ist jedoch nicht nur Kritik und das Editorial von samczsun.com enthält eine Einführung in Orakel, Orakelmanipulation und Möglichkeiten zur Abschwächung von Ausbeutung. Darüber hinaus werden in dem Beitrag sechs Sicherheitslücken erörtert, die in der Vergangenheit aufgetreten sind.
Zum Beispiel erwähnt der Beitrag unterbesicherte Kredite, die Synthetix sKRW-Orakelstörung, der yVault-Fehler Synthetix MKR Manipulation, der Harvest Finance-Hack und der Bzx-Hack ebenfalls.
Die Forschung von Samczsun.com fasst auch die Harvest Finance-Probleme zusammen, die am 26. Oktober 2020 aufgetreten sind.
"Der Angreifer hat den Preis von USDC im Kurvenpool durch Ausführen eines Handels entleert und ist zum reduzierten Preis in den Erntepool eingetreten", heißt es in den Ergebnissen. „(Der Angreifer) stellte den Preis wieder her, indem er den früheren Handel rückgängig machte, und verließ den Erntepool zu einem höheren Preis. Dies führte zu Verlusten von über 33 Mio. USD. “
Der Bericht kommt zu dem Schluss, dass "Preisorakel ein kritischer, aber oft übersehener Bestandteil der Defi-Sicherheit sind". Der Artikel hebt hervor, dass es viele Möglichkeiten gibt, wie sich Dapps in den Fuß schießen können, wenn sie einige dieser Probleme übersehen. "Das Lesen von Preisinformationen während einer Transaktion kann unsicher sein und zu katastrophalen finanziellen Schäden führen", heißt es in dem Forschungsbericht.
Was halten Sie von den Millionen, die bisher durch Blockchain-basierte Preisorakel verloren gegangen sind? Teilen Sie uns Ihre Meinung im Kommentarbereich unten mit.
Bildnachweis: Shutterstock, Pixabay, Wiki Commons, samczsun.com,
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es handelt sich nicht um ein direktes Angebot oder eine Aufforderung zur Abgabe eines Kauf- oder Verkaufsangebots oder um eine Empfehlung oder Billigung von Produkten, Dienstleistungen oder Unternehmen. Bitcoin.com bietet keine Anlage-, Steuer-, Rechts- oder Buchhaltungsberatung an. Weder das Unternehmen noch der Autor sind direkt oder indirekt für Schäden oder Verluste verantwortlich, die durch oder in Verbindung mit der Nutzung oder dem Vertrauen auf in diesem Artikel erwähnte Inhalte, Waren oder Dienstleistungen verursacht werden oder angeblich verursacht werden.