Accueil
Actualités
Détails

L'exploitation d'Inertia met en lumière les vulnérabilités persistantes d'ERC4626 dans le prêt DeFi

iconAMBCrypto
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
INIT
$0,053116-0,39 %
This is the logo of the coin.
TIA
$0,30954,24 %
This is the logo of the coin.
USDC
$1,000 %
AI summary iconRésumé

expand icon
Le protocole de prêt DeFi Inertia a subi une exploitation de 152 000 $ le 25 mai en raison d'une vulnérabilité ERC4626. Les attaquants ont manipulé les prix des garanties roETH sur cinq marchés — USDC, INIT, sINIT, TIA et roTIA — sur une période d'une heure et treize minutes. L'exploitation a provoqué une chute de 99,7 % de l'offre de roETH et a fait gonfler son taux de change de 27 fois, passant de 1,234 à 33,75 stETH. Les données d'inflation restent une préoccupation majeure, le protocole ayant reconnu des défaillances des oracles. Les paiements du fonds de garantie ont rétabli les soldes, et le prêt a repris. Inertia mettra en œuvre une validation des oracles à sources multiples, des règles plus strictes pour les garanties et des dispositifs de coupure de déviation pour prévenir de futures attaques. Les réactions du marché pourraient refléter des évolutions de l'indice peur et avidité alors que les traders évaluent le risque.

Le protocole de prêt DeFi Inertia indique qu'une récente exploitation ayant vidé environ 152 000 $ à travers plusieurs marchés de prêt provient d'une classe de vulnérabilité ERC4626 bien connue qui a toujours contourné les protections clés des oracles et de la gestion des risques.

Dans un post-mortem détaillé publié le 25 mai, le protocole a indiqué que les attaquants avaient manipulé le prix de la garantie roETH avant d'emprunter des actifs sur cinq marchés de prêt d'Inertia.

L'exploitation a affecté les marchés USDC, INIT, sINIT, TIA et roTIA pendant une fenêtre d'attaque durant environ une heure et treize minutes.

annonce

Inertia a déclaré que son fonds de garantie a déjà rétabli tous les soldes des utilisateurs affectés et confirmé que les opérations de prêt ont repris.

L'attaque a exploité les faiblesses connues du prix des parts ERC4626

Selon le protocole, les attaquants ont utilisé une combinaison de réduction de l'offre et de dons directs de jetons pour manipuler le taux de change du contrat de staking liquide roETH.

L'exploitation s'est appuyée sur un schéma de vulnérabilité connu ERC4626 impliquant des mécanismes de comptabilisation du prix des parts.

Inertia a déclaré que les attaquants ont d'abord réduit l'offre en circulation de roETH d'environ 99,7 % via une demande de retrait. Ils ont ensuite transféré directement du wstETH dans le contrat sans émettre de nouvelles parts.

Cela a fortement gonflé le taux de change déclaré.

Le protocole a indiqué que la valeur déclarée de roETH est passée d'environ 1,234 stETH par token à près de 33,75 stETH, créant un facteur d'inflation d'environ 27x.

Les attaquants ont ensuite utilisé la valeur de la garantie gonflée pour vider les actifs à travers plusieurs pools de prêt.

Les mécanismes de protection d'Oracle n'ont pas empêché une tarification anormale

Inertia a déclaré que l'exploitation a réussi non seulement en raison de la vulnérabilité du contrat de liquid staking, mais aussi parce que ses propres mécanismes de protection des prix n'ont pas réussi à contenir la valeur du collatéral manipulée.

Le protocole a reconnu que son système de tarification manquait :

  • contrôles de déviation de prix maximale,
  • validation secondaire par oracle,
  • réponses efficaces aux alertes en temps réel,
  • et les limites de taux d'emprunt par compte.

Le protocole a également reconnu que la classe de vulnérabilité ERC4626 a été documentée publiquement depuis 2022 et dispose déjà de contremesures largement disponibles.

Inertia prévoit une révision plus large de son système de contrôle des risques

Après l'exploitation, Inertia a déclaré qu'elle réviserait certaines parties de son architecture d'oracle et de son cadre d'examen des collatéraux.

Le protocole prévoit d'introduire :

  • validation oracle à sources multiples,
  • disjoncteurs de déviation,
  • examens de liste plus rigoureux,
  • et une surveillance plus stricte des actifs collatéraux de staking liquide.

Inertia a également déclaré qu'elle continue de coordonner les efforts de récupération liés aux actifs qui restent traçables à travers les files de validateurs, les pools de liquidité et l'infrastructure de pont.

Résumé final

  • Inertia a déclaré que les attaquants ont exploité une vulnérabilité connue d'ERC4626 pour gonfler les prix des collatéraux roETH et vider environ 152 000 $ des marchés de prêt.
  • Le protocole a reconnu des défaillances dans ses propres mécanismes de sécurité oracles et a commencé à mettre en œuvre des contrôles de prix et de risque plus stricts.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.