Инцидент с неправильной работой оракула Chainlink стал причиной крупной серии атак на DeFi-протоколы. Ошибка в передаче данных о цене токена wrstETH, которая временно показывала $5,8 млн вместо реальных $3000, позволила злоумышленнику провести серию эксплойтов, начав с Moonwell. По данным CertiK, хакер использовал флеш-займ на 0,02 wrstETH, внес его как залог и смог неоднократно брать кредиты более чем на 20 wstETH, в результате чего украл 295 ETH, что эквивалентно примерно $1 млн.
Эксперт под псевдонимом Dami назвал произошедшее «безумием» и возложил ответственность на Chainlink, чьи данные стали ключевым источником уязвимости. Согласно его заявлению, ошибка оракула позволила системе переоценить актив и выдать заем под завышенную стоимость. Вследствие этого смарт-контракт Moonwell непреднамеренно предоставил хакеру возможность многократного кредитования без достаточного обеспечения.
Позднее аналитик под псевдонимом Specter сообщил, что тот же атакующий ранее уже уже эксплуатировал протокол Moonwell 10 октября, когда ему удалось вывести 269 ETH (около $1 млн). Судя по всему, команда проекта не устранила уязвимость, что позволило злоумышленнику вернуться и повторно провести атаку, увеличив общие потери до более чем $2 млн.
Дополнительно стало известно, что этот же адрес был замешан в ряде аналогичных эксплойтов других лендинговых протоколов, включая Venus Protocol ($664 тыс.), TakaraLend ($450 тыс.), а также атаковал мелкие проекты вроде LobsterFi и OrbiterOne. Несмотря на схожие признаки, большинство пострадавших команд не делали официальных заявлений, что вызывает обеспокоенность у исследователей в секторе безопасности.
По данным Specter, злоумышленник действует в течение года, эксплуатируя слабые места в системах оракулов и риск-моделях DeFi-протоколов. Его стратегия основывается на поиске несанкционированных расхождений между ценовыми фидами и реальными данными, что позволяет проводить атаки без непосредственного взлома смарт-контрактов. Последний инцидент вновь поставил под сомнение надежность оракульных решений.
