หน้าแรก
ข่าวสาร
รายละเอียด

การโจมตีด้วย Inertia ชี้ให้เห็นช่องโหว่ที่ยังคงอยู่ของ ERC4626 ในระบบสินเชื่อ DeFi

iconAMBCrypto
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
INIT
$0.053116-0.96%
This is the logo of the coin.
TIA
$0.30812.7%
This is the logo of the coin.
USDC
$1.000%
AI summary iconสรุป

expand icon
โปรโตคอลการให้กู้ยืมแบบ DeFi ชื่อ Inertia ประสบการถูกโจมตีมูลค่า 152,000 ดอลลาร์สหรัฐเมื่อวันที่ 25 พฤษภาคม เนื่องจากช่องโหว่ของ ERC4626 ผู้โจมตีได้จัดการราคาหลักประกัน roETH ผ่านห้าตลาด—USDC, INIT, sINIT, TIA และ roTIA—ภายในช่วงเวลาหนึ่งชั่วโมงและสิบสามนาที การโจมตีทำให้ปริมาณ roETH ลดลง 99.7% และเพิ่มอัตราแลกเปลี่ยนขึ้น 27 เท่า จาก 1.234 เป็น 33.75 stETH ข้อมูลการอัตราเงินเฟ้อยังคงเป็นประเด็นสำคัญ เนื่องจากโปรโตคอลได้ยอมรับว่าเกิดความล้มเหลวของ oracle การจ่ายเงินจากกองทุนประกันได้คืนยอดเงินให้กับผู้ใช้ และการให้กู้ยืมได้กลับมาดำเนินการอีกครั้ง Inertia จะดำเนินการตรวจสอบ oracle จากหลายแหล่ง ปรับกฎหลักประกันให้เข้มงวดขึ้น และติดตั้งวงจรปิดเมื่อเกิดความเบี่ยงเบน เพื่อป้องกันการโจมตีในอนาคต การตอบสนองของตลาดอาจสะท้อนการเปลี่ยนแปลงของดัชนีความกลัวและความโลภ เมื่อนักเทรดประเมินความเสี่ยง

โปรโตคอลการให้กู้ยืมแบบ DeFi Inertia ระบุว่าการถูกโจมตีล่าสุดที่ดูดเงินประมาณ 152,000 ดอลลาร์สหรัฐจากตลาดการให้กู้ยืมหลายแห่ง เกิดจากช่องโหว่ประเภท ERC4626 ที่รู้จักกันมานานซึ่งยังสามารถหลีกเลี่ยงการป้องกันของ oracle และการจัดการความเสี่ยงหลักได้

ในรายงานวิเคราะห์เชิงลึกที่เผยแพร่เมื่อวันที่ 25 พฤษภาคม โปรโตคอลระบุว่าผู้โจมตีได้จัดการราคาของ roETH 作为หลักประกัน ก่อนที่จะกู้ยืมสินทรัพย์ผ่านตลาดกู้ยืมของ Inertia ห้าแห่ง

การโจมตีส่งผลกระทบต่อตลาด USDC, INIT, sINIT, TIA และ roTIA ภายในช่วงเวลาประมาณหนึ่งชั่วโมงและ 13 นาที

โฆษณา

อินเออร์เชียระบุว่ากองทุนประกันของบริษัทได้คืนยอดเงินของผู้ใช้ที่ได้รับผลกระทบทั้งหมดแล้ว และยืนยันว่าการให้กู้ยืมได้กลับมาดำเนินการอีกครั้ง

การโจมตีใช้จุดอ่อนของราคาหุ้น ERC4626 ที่รู้จักกันอยู่แล้ว

ตามโปรโตคอล ผู้โจมตีใช้การรวมกันของการลดอุปทานและการบริจาคโทเค็นโดยตรงเพื่อจัดการอัตราแลกเปลี่ยนของสัญญา roETH แบบสแต็กของเหลว

การโจมตีมุ่งเป้าไปที่รูปแบบช่องโหว่ ERC4626 ที่รู้จักกันดี ซึ่งเกี่ยวข้องกับกลไกการบัญชีราคาหุ้น

อินเออร์เชียระบุว่าผู้โจมตีลดปริมาณ roETH ที่ lưu lưuเวียนลงประมาณ 99.7% ผ่านคำขอถอน จากนั้นจึงโอน wstETH โดยตรงเข้าสู่สัญญาโดยไม่ได้สร้างหุ้นเพิ่มเติม

ส่งผลให้อัตราแลกเปลี่ยนที่รายงานสูงขึ้นอย่างมาก

โปรโตคอลระบุว่ามูลค่าที่รายงานของ roETH พุ่งขึ้นจากประมาณ 1.234 stETH ต่อโทเค็น เป็นเกือบ 33.75 stETH สร้างปัจจัยเงินเฟ้อประมาณ 27 เท่า

ผู้โจมตีจากนั้นใช้มูลค่าหลักประกันที่ถูกบิดเบือนเพื่อดึงทรัพย์สินออกจากรายการกู้ยืมหลายแห่ง

ระบบป้องกันของ Oracle ไม่สามารถหยุดราคาที่ผิดปกติได้

อินเออร์เชียระบุว่าการโจมตีประสบความสำเร็จไม่เพียงเพราะช่องโหว่ของสัญญา liquid staking แต่ยังเนื่องจากมาตรการป้องกันราคาของตนเองล้มเหลวในการควบคุมมูลค่าหลักประกันที่ถูกจัดการ

โปรโตคอลยอมรับว่าระบบการกำหนดราคาขาด

  • การควบคุมการเบี่ยงเบนราคาบน
  • การตรวจสอบแบบออราเคิลที่สอง
  • การตอบสนองแจ้งเตือนแบบเรียลไทม์ที่มีประสิทธิภาพ
  • และขีดจำกัดอัตราการกู้ยืมต่อบัญชี

โปรโตคอลยังได้รับรองว่า คลาสช่องโหว่ ERC4626 ได้รับการจดบันทึกอย่างเปิดเผยตั้งแต่ปี 2022 และมีมาตรการป้องกันที่เข้าถึงได้อย่างกว้างขวางอยู่แล้ว

อินเออร์เชียวางแผนปรับปรุงระบบควบคุมความเสี่ยงอย่างกว้างขวาง

หลังจากการถูกโจมตี อินเออร์เชียระบุว่าจะทบทวนส่วนบางส่วนของสถาปัตยกรรมออราเคิลและกรอบการทบทวนหลักประกัน

โปรโตคอลมีแผนที่จะเปิดตัว:

  • การตรวจสอบแหล่งข้อมูลหลายแหล่ง
  • วงจรป้องกันการเบี่ยงเบน
  • การทบทวนการจัดรายการที่เข้มงวดขึ้น
  • และการตรวจสอบอย่างเข้มงวดเกี่ยวกับสินทรัพย์ประกันของ liquid staking

อินเออร์เชียยังระบุว่า ยังคงประสานงานความพยายามในการกู้คืนทรัพย์สินที่ยังสามารถติดตามได้ผ่านคิวของตัวตรวจสอบ บ่อน้ำหล่อเย็นสภาพคล่อง และโครงสร้างพื้นฐานของสะพาน

สรุปสุดท้าย

  • อินเออร์เชียระบุว่าผู้โจมตีใช้ช่องโหว่ ERC4626 ที่รู้จักกันดีในการเพิ่มราคาหลักประกัน roETH และดึงเงินประมาณ 152,000 ดอลลาร์สหรัฐออกจากตลาดกู้ยืม
  • โปรโตคอลยอมรับความล้มเหลวในการป้องกันออราเคิลของตนเอง และเริ่มดำเนินการควบคุมราคาและความเสี่ยงที่เข้มงวดขึ้น

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา