Головна
Новини
Детальніше

Експлуатація Inertia підкреслює постійні вразливості ERC4626 у DeFi-позичанні

iconAMBCrypto
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
INIT
$0,0554696,52%
This is the logo of the coin.
TIA
$0,31385,33%
This is the logo of the coin.
USDC
$1,000%
AI summary iconКороткий зміст

expand icon
Дефі-протокол кредитування Inertia зазнав витоку на $152 000 25 травня через вразливість ERC4626. Зловмисники маніпулювали цінами колатералу roETH у п’яти ринках — USDC, INIT, sINIT, TIA та roTIA — протягом 1 години 13 хвилин. Витік призвів до зниження пропозиції roETH на 99,7% та збільшення курсу обміну в 27 разів — з 1,234 до 33,75 stETH. Інфляційні дані залишаються критичною проблемою, оскільки протокол визнав невдачі оракулів. Виплати зі страхового фонду відновили баланси, і кредитування відновлено. Inertia впровадить перевірку оракулів з кількох джерел, строгіші правила щодо колатералу та аварійні зупинки за відхиленням, щоб запобігти майбутнім атакам. Реакція ринку може відображати зміни в індексі страху ти жадання, оскільки трейдери оцінюють ризики.

Дефі-протокол для позичання Inertia повідомляє, що недавній витік, який вивів приблизно 152 000 доларів США через кілька ринків позичання, виник через довго відому класу вразливостей ERC4626, яка все ще обійшла основні захисти оракула та управління ризиками.

У детальному постмортемі, опублікованому 25 травня, протокол повідомив, що нападники маніпулювали ціною коллатералу roETH перед тим, як позичити активи через п’ять ринків позичання Inertia.

Експлойт вплинув на ринки USDC, INIT, sINIT, TIA та roTIA під час атаки, яка тривала приблизно одну годину та 13 хвилин.

оголошення

Inertia заявила, що її страховий фонд вже відновив усі постраждалі баланси користувачів і підтвердила, що операції з позичання коштів знову почалися.

Атака використала відомі слабкості ціни акцій ERC4626

Згідно з протоколом, нападники використали комбінацію зменшення пропозиції та прямих донатів токенів для маніпулювання обмінним курсом рoETH-контракту ліквідного стейкінгу.

Експлойт був спрямований на відому вразливість ERC4626, пов’язану з механізмами обліку ціни акцій.

Inertia зазначила, що нападники спочатку зменшили обіговий обсяг roETH приблизно на 99,7% за допомогою запиту на виведення. Потім вони безпосередньо перевели wstETH у контракт, не створюючи додаткових акцій.

Це різко збільшило повідомлену курсову ставку.

Протокол повідомив, що звітна вартість roETH зросла з приблизно 1,234 stETH за токен до майже 33,75 stETH, що створило інфляційний коефіцієнт близько 27x.

Зловмисники використали завищену вартість колатералу, щоб вивести активи з кількох пулів позичання.

Системи захисту Oracle не змогли зупинити ненормальні ціни

Inertia зазначила, що експлойт вдалося не лише через вразливість контракту рідкісного стейкінгу, а й тому, що її власні цінові заходи безпеки не змогли зупинити маніпульовану вартість колатералу.

Протокол визнав, що його система ціноутворення не мала:

  • контролі відхилення ціни зверху,
  • другорядна перевірка оракула,
  • ефективні відповіді на сповіщення в реальному часі,
  • та ліміти позичкових ставок на акаунт.

Протокол також визнав, що клас вразливостей ERC4626 був публічно задокументований з 2022 року і вже має широко доступні засоби захисту.

Inertia планує широке оновлення контролю ризиків

Після експлуатації Inertia заявила, що перегляне частини своєї архітектури оракула та рамки огляду колатералу.

Протокол планує ввести:

  • валідація оракула з кількох джерел,
  • запобіжники відхилення,
  • стислі огляди лістингу,
  • та більш строгий моніторинг активів, що використовуються як забезпечення для ліквідного стейкінгу.

Inertia також зазначила, що продовжує координувати заходи з відновлення активів, які залишаються відстежуваними через черги валідаторів, ліквідні пули та інфраструктуру мостів.

Фінальний підсумок

  • Inertia зазначила, що нападники використали відому вразливість ERC4626, щоб завищити ціни на коллатерал roETH і вивести приблизно 152 000 доларів із ринків позичання.
  • Протокол визнав невдачі власних систем оракулів і почав впроваджувати строгіші механізми ціноутворення та контролю ризиків.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.