Página inicial
Notícias
Detalhes

Exploração da Inércia Destaca Vulnerabilidades Persistentes do ERC4626 em Empréstimos DeFi

iconAMBCrypto
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
INIT
$0,0554696,52%
This is the logo of the coin.
TIA
$0,31315,1%
This is the logo of the coin.
USDC
$1,00010%
AI summary iconResumo

expand icon
O protocolo de empréstimo DeFi Inertia sofreu um ataque de $152.000 em 25 de maio devido a uma vulnerabilidade ERC4626. Os atacantes manipularam os preços da garantia roETH em cinco mercados—USDC, INIT, sINIT, TIA e roTIA—durante um período de uma hora e 13 minutos. O ataque causou uma queda de 99,7% na oferta de roETH e inflou sua taxa de câmbio 27 vezes, de 1,234 para 33,75 stETH. Os dados de inflação permanecem uma preocupação crítica, pois o protocolo reconheceu falhas no oracle. Pagamentos do fundo de seguro restauraram os saldos, e os empréstimos foram retomados. A Inertia implementará validação de oracle com múltiplas fontes, regras mais rígidas para garantias e disjuntores de desvio para prevenir futuros ataques. As reações do mercado podem refletir mudanças no índice de medo e ganância, à medida que os traders avaliam o risco.

O protocolo de empréstimo DeFi Inertia afirma que um recente exploit que drenou aproximadamente US$ 152.000 em vários mercados de empréstimo decorreu de uma classe de vulnerabilidade ERC4626 amplamente conhecida que ainda contornou proteções-chave de oráculos e gerenciamento de risco.

Em um detalhado pós-morte publicado em 25 de maio, o protocolo afirmou que os atacantes manipularam o preço da garantia roETH antes de emprestar ativos em cinco mercados de empréstimo da Inertia.

A exploração afetou os mercados USDC, INIT, sINIT, TIA e roTIA durante uma janela de ataque que durou aproximadamente uma hora e 13 minutos.

anúncio

A Inertia disse que seu fundo de seguro já restaurou todos os saldos dos usuários afetados e confirmou que as operações de empréstimo foram retomadas.

O ataque explorou vulnerabilidades conhecidas no preço das ações ERC4626

De acordo com o protocolo, os atacantes utilizaram uma combinação de redução de oferta e doações diretas de tokens para manipular a taxa de câmbio do contrato de staking líquido roETH.

A exploração centrou-se em um padrão de vulnerabilidade conhecido do ERC4626 envolvendo mecanismos de contabilidade de preço de ações.

A Inertia disse que os atacantes primeiro reduziram a oferta circulante de roETH em aproximadamente 99,7% por meio de um pedido de retirada. Em seguida, transferiram wstETH diretamente para o contrato sem cunhar ações adicionais.

Isso inflacionou drasticamente a taxa de câmbio relatada.

O protocolo disse que o valor relatado do roETH saltou de aproximadamente 1,234 stETH por token para quase 33,75 stETH, criando um fator de inflação de cerca de 27x.

Os atacantes então usaram o valor da garantia inflado para esvaziar ativos em múltiplos pools de empréstimos.

Os mecanismos de proteção da Oracle não conseguiram impedir precificação anormal

A Inertia disse que a exploração teve sucesso não apenas devido à vulnerabilidade no contrato de staking líquido, mas também porque as próprias salvaguardas de precificação falharam em conter o valor da garantia manipulada.

O protocolo admitiu que seu sistema de precificação faltava:

  • controles de desvio de preço máximo,
  • validação secundária do oracle,
  • respostas eficazes a alertas em tempo real,
  • e limites de taxa de empréstimo por conta.

O protocolo também reconheceu que a classe de vulnerabilidade ERC4626 foi documentada publicamente desde 2022 e já possui mitigações amplamente disponíveis.

A Inertia planeja uma reforma mais abrangente no controle de riscos

Após a exploração, a Inertia disse que revisará partes de sua arquitetura de oracle e do framework de revisão de colateral.

O protocolo planeja introduzir:

  • validação de oráculo de múltiplas fontes,
  • dispositivos de interrupção por desvio,
  • revisões de listagem mais rigorosas,
  • e monitoramento mais rigoroso em torno dos ativos de garantia de staking líquido.

A Inertia também disse que continua coordenando os esforços de recuperação relacionados a ativos que permanecem rastreáveis nas filas de validadores, pools de liquidez e infraestrutura de pontes.

Resumo Final

  • A Inertia disse que os atacantes exploraram uma vulnerabilidade conhecida do ERC4626 para inflacionar os preços da garantia roETH e esvaziar aproximadamente US$ 152.000 dos mercados de empréstimos.
  • O protocolo reconheceu falhas em suas próprias salvaguardas de oracle e começou a implementar controles de preços e riscos mais rigorosos.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.