Inicio
Noticias
Detalles

La explotación de Inertia destaca las vulnerabilidades persistentes de ERC4626 en el préstamo DeFi

iconAMBCrypto
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
INIT
$0,0552485,62 %
This is the logo of the coin.
TIA
$0,31716,62 %
This is the logo of the coin.
USDC
$1,000 %
AI summary iconResumen

expand icon
El protocolo de préstamo DeFi Inertia sufrió una explotación de $152,000 el 25 de mayo debido a una vulnerabilidad ERC4626. Los atacantes manipularon los precios de la garantía roETH en cinco mercados—USDC, INIT, sINIT, TIA y roTIA—durante un período de una hora y 13 minutos. La explotación causó una caída del 99,7% en el suministro de roETH e infló su tipo de cambio 27 veces, de 1,234 a 33,75 stETH. Los datos de inflación siguen siendo una preocupación crítica, ya que el protocolo reconoció fallas en los oráculos. Los pagos del fondo de seguros restauraron los saldos, y el préstamo ha reanudado sus operaciones. Inertia implementará validación de oráculos de múltiples fuentes, reglas más estrictas para las garantías y interruptores de desviación para prevenir futuros ataques. Las reacciones del mercado podrían reflejar cambios en el índice de miedo y codicia a medida que los operadores evalúan el riesgo.

El protocolo de préstamo DeFi Inertia indica que un reciente exploit que drenó aproximadamente $152,000 en múltiples mercados de préstamo se debió a una clase de vulnerabilidad ERC4626 ampliamente conocida que aún logró eludir las protecciones clave de oráculos y gestión de riesgos.

En una publicación detallada de post-mortem el 25 de mayo, el protocolo indicó que los atacantes manipularon el precio de la garantía roETH antes de pedir prestados activos en cinco mercados de préstamos de Inertia.

La explotación afectó los mercados de USDC, INIT, sINIT, TIA y roTIA durante una ventana de ataque que duró aproximadamente una hora y 13 minutos.

anuncio

Inertia dijo que su fondo de seguros ya ha restaurado todos los saldos afectados de los usuarios y confirmó que las operaciones de préstamo han reanudado.

El ataque explotó debilidades conocidas en el precio de las acciones ERC4626

Según el protocolo, los atacantes utilizaron una combinación de reducción de la oferta y donaciones directas de tokens para manipular el tipo de cambio del contrato de staking líquido roETH.

La explotación se centró en un patrón de vulnerabilidad conocido de ERC4626 que involucra mecanismos de contabilidad de precio de acciones.

Inertia dijo que los atacantes primero redujeron la oferta circulante de roETH en aproximadamente el 99,7% mediante una solicitud de retiro. Luego transfirieron wstETH directamente al contrato sin emitir acciones adicionales.

Eso aumentó bruscamente la tasa de cambio reportada.

El protocolo dijo que el valor reportado de roETH aumentó de aproximadamente 1,234 stETH por token a casi 33,75 stETH, creando un factor de inflación de alrededor de 27x.

Los atacantes luego utilizaron el valor de la garantía inflado para extraer activos de múltiples piscinas de préstamos.

Los mecanismos de protección de Oracle no lograron detener la fijación de precios anormal

Inertia dijo que la explotación tuvo éxito no solo debido a la vulnerabilidad del contrato de staking líquido, sino también porque sus propias medidas de protección de precios no lograron contener el valor manipulado de la garantía.

El protocolo admitió que su sistema de precios carecía:

  • controles de desviación de precio límite superior,
  • validación secundaria del oráculo,
  • respuestas efectivas a alertas en tiempo real,
  • y límites de tasa de préstamo por cuenta.

El protocolo también reconoció que la clase de vulnerabilidad ERC4626 ha estado documentada públicamente desde 2022 y ya cuenta con mitigaciones ampliamente disponibles.

Inertia planea una revisión más amplia del control de riesgos

Tras el exploit, Inertia dijo que revisará partes de su arquitectura de oracle y su marco de revisión de colaterales.

El protocolo planea introducir:

  • validación de oráculo de múltiples fuentes,
  • interruptores de desviación,
  • revisiones de listado más estrictas,
  • y un monitoreo más estricto de los activos que sirven como garantía para el staking líquido.

Inertia también dijo que continúa coordinando los esfuerzos de recuperación relacionados con los activos que siguen siendo rastreables a través de colas de validadores, piscinas de liquidez e infraestructura de puente.

Resumen final

  • Inertia dijo que los atacantes explotaron una vulnerabilidad conocida de ERC4626 para inflar los precios de la garantía roETH y extraer aproximadamente $152,000 de los mercados de préstamos.
  • El protocolo reconoció fallas en sus propias medidas de seguridad de los oráculos y ha comenzado a implementar controles de precios y riesgo más estrictos.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.