شکافهای امنیتی اوراکل و تدابیر پیشگیرانه RedStone
برای کاربران ضروری است که درک کنند چرا اکسپلویتهای اوراکل رخ میدهند و چگونه میتوانند بر امنیت یک سرویس غیرمتمرکز تأثیر بگذارند. جلوگیری از اکسپلویتها برای بهبود شهرت وب 3.0 اساسی است. در این مقاله، یک تحلیل جامع از اکسپلویتهای اوراکل مورد بررسی قرار میگیرد و نحوه طراحی خاص اوراکلهای رداستون برای جلوگیری از وقوع این حوادث برای مشتریان آنها توضیح داده میشود.
اکسپلویتهای اوراکل چه هستند؟
اکسپلویتهای اوراکل به دستکاری عمدی یک اوراکل اشاره دارند که منجر به اجرای نادرست قراردادهای هوشمند یک دیاَپ میشود.
مثال
اگر قیمت یک توکن A در یونیسواپ به طور مصنوعی افزایش یابد و سپس توسط یک اوراکل به Aave ارائه شود، یک مهاجم میتواند از قیمت نادرست گزارش شده برای سرقت وجوه از Aave بهرهبرداری کند. با دانستن اینکه فقط یک فید قیمت به Aave ارائه میشود (قیمتگذاری یونیسواپ)، مهاجم از گزارش قیمت نادرست توکن A توسط اوراکل برای سوءاستفاده از Aave بهره میبرد.
دستکاری بازار چیست؟
دستکاری یا مَنِپولِیشن بازار یک اصطلاح کلیتر است که به کنترل مصنوعی قیمت یک دارایی از طریق تغییر تعادل طبیعی عرضه و تقاضا اشاره دارد. تفاوت اصلی بین یک اکسپلویت اوراکل و مَنِپولِیشن بازار این است که یک اکسپلویت اوراکل منجر به گزارش دادههای نادرست میشود، در حالی که مَنِپولِیشن بازار عمل تغییر قیمت داراییها را توصیف میکند. یک مثال ساده از مَنِپولِیشن بازار، طرح پامپ و دامپ است. این طرح شامل افزایش مصنوعی قیمت یک ارز دیجیتال از طریق خرید هماهنگ و سپس فروش دارایی پامپ شده برای کسب سود به ضرر معاملهگران بیخبر میشود.
نگاهی به اکسپلویتهای تاریخی اوراکل
در زیر لیستی از اکسپلویتهای قبلی اوراکل در وب 3.0 همراه با پیادهسازیهای امنیتی مربوطه رداستون ارائه شده است که رداستون را به یک ارائه دهنده داده قوی تبدیل میکند.
واقعیت: اوراکلهای رداستون سالهاست که فیدهای دادهای را برای تامین امنیت میلیاردها دلار ارزش ارائه دادهاند و هرگز مورد سوءاستفاده قرار نگرفتهاند.
اکسپلویت سینتتیکس
مبلغ از دست رفته: حدود ۱ میلیارد دلار
در سال ۲۰۱۹، یک اوراکل قیمت وون کرهای را ۱۰۰۰ برابر بیشتر از قیمت واقعی گزارش داد. در نتیجه، یک بات آربیتراژ از این اشتباه سوءاستفاده کرد و سود قابل توجهی کسب کرد. این خطا به دلیل عدم اعتبارسنجی کافی دادههای قیمت توسط یک اوراکل متمرکز قبل از تغذیه آن به پروتکل سینتتیکس رخ داد.
اقدامات پیشگیرانه رداستون
رداستون یک سیستم بررسی (تشخیص پرت) را پیادهسازی میکند تا اطمینان حاصل کند که یک فید داده ارائه شده به طور قابل توجهی از قیمت قبلی یک دارایی منحرف نمیشود. این به عنوان یک بافر عمل میکند، زیرا گزارش یک مقدار افراطی برای یک قیمت میتواند تأثیر قابل توجهی بر عملکرد یک پروتکل مالی غیرمتمرکز (DeFi) داشته باشد، همانطور که در اکسپلویت سینتتیکس نشان داده شده است.
اکسپلویت کامپاوند
مبلغ از دست رفته: حدود ۸۹ میلیون دلار
در سال ۲۰۲۰، زمانی که اوراکل کوینبیس پرو به اشتباه قیمت استیبلکوین دای (DAI) را ۱.۳ دلار به جای ۱ دلار گزارش کرد، ۸۹ میلیون دلار ضرر وارد شد. این قیمت نادرست منجر به مقدار قابل توجهی از لیکویید شدنهای غیرضروری شد. در این مورد، کامپاوند برای قیمت دای به یک اوراکل متمرکز واحد تکیه کرده بود.
اقدامات پیشگیرانه رداستون
رداستون با جمعآوری دادههای قیمتی از منابع متعدد، از جمله صرافیهای متمرکز، صرافیهای غیرمتمرکز و گردآورندههای داده کریپتو، از گزارش فید قیمت نادرست جلوگیری میکند. به طور معمول، قیمتهایی که به dapp ها ارائه میشوند، مقدار میانی محاسبهشده از همه منابع داده هستند که حتی در صورت پذیرش یک فید قیمت نادرست به عنوان قیمت صحیح، به عنوان لایه دوم بررسی عمل میکنند. رداستون به توسعهدهندگان dapp این امکان را میدهد که در صورت مشکوک شدن به نفوذ یک منبع داده، فوراً و به طور خودکار قیمتهای آن منبع را حذف کنند.
اکسپلویت bZx
مبلغ از دست رفته: حدود ۳۵۵ هزار دلار
اکسپلویت bZx شامل سوءاستفاده از نقدشوندگی پایین داراییها در یک صرافی برای دستکاری قیمتهای wBTC و sUSD بود. مهاجم مجموعهای از تراکنشها را اجرا کرد که در نهایت به برداشت وجوه از پروتکل منجر شد.
توضیحاتی در مورد جزئیات طرح تراکنشهای استفادهشده توسط مهاجم را میتوانید در اینجا پیدا کنید.
لینک: https://peckshield.medium.com/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc
اقدامات پیشگیرانه رداستون
رداستون از میانگین قیمت وزنیشده نقدینگی (LWAP) استفاده میکند تا اطمینان حاصل کند که حتی در صورت دستکاری قیمت در صرافی، گزارش قیمت آن دارایی به طور قابل توجهی نادرست نشود. رداستون همچنین قیمت داراییها را از مجموعهای از صرافیها دریافت میکند که در آنها نقدینگی کافی برای دارایی موردنظر وجود دارد.
اکسپلویت مانگو مارکتس
مبلغ از دست رفته: حدود ۱۱۷ میلیون دلار
در سال ۲۰۲۲، آبراهام آیزنبرگ با دستکاری قیمت توکن MNGO با نقدشوندگی پایین، مانگو مارکتس را اکسپلویت کرد. او از وامهای فلش و معاملات لِورج استفاده کرد تا یک افزایش قیمت مصنوعی ایجاد کند که به او اجازه داد تا از وثیقه پامپ شده قرض بگیرد و ۱۱۷ میلیون دلار از پروتکل را تخلیه کند.
اقدامات پیشگیرانه رداستون
رداستون میانگین قیمت وزنیشده نقدینگی (LWAP) را پیادهسازی میکند تا اطمینان حاصل کند که دستکاری قیمت به دلیل نقدشوندگی پایین تأثیر قابل توجهی بر یک پروتکل ندارد.
اکسپلویت BonqDAO
مبلغ از دست رفته: حدود ۱۲۰ میلیون دلار
در سال ۲۰۲۳، BonqDAO به دلیل یک باگ در قرارداد هوشمند فید قیمت از پروتکل تلور اوراکل مورد سوءاستفاده قرار گرفت. مهاجم توانست قیمت یک ارز دیجیتال را برای دستکاری پروتکل از طریق مکانیزم قرضدهی آن تغییر دهد و در نهایت آن را از ۱۲ میلیون دلار تخلیه کند.
اقدامات پیشگیرانه رداستون
قراردادهای هوشمند رداستون توسط چندین شرکت حسابرسی از جمله Quantstamp، AuditOne، Peckshield و ABDK مورد آدیت و بررسی قرار گرفتهاند. رداستون متعهد به اختصاص بودجه شرکت برای اطمینان از اینکه قراردادهای هوشمند آنها مطابق با توصیههای متخصصانِ آدیت نوشته شدهاند، است. علاوه بر این، کو-فاندِر رداستون، یاکوب ووچوفسکی، پیش از این به عنوان بررسی کننده قراردادهای هوشمند فعالیت میکرده و تخصص خود را به رداستون آورده است.
اکسپلویت 0VIX
مبلغ از دست رفته: حدود ۲ میلیون دلار
پروتکل 0VIX روی پالیگان در سال ۲۰۲۳ به دلیل آسیبپذیری در توانایی vGHST برای دستکاری قیمت خود از طریق کمکهای مالی مورد سوءاستفاده قرار گرفت. مهاجم از وامهای فلش و دستکاری قیمت از طریق پیادهسازی اوراکل تخصصی به نام VGHSTOracle استفاده کرد. این دستکاری قیمت توکن را افزایش داد و ایجاد و تسویه پوزیشنهای بدهی لِورج برای کسب سود را امکانپذیر کرد.
اقدامات پیشگیرانه رداستون
رداستون با توسعهدهندگان برنامهها همکاری نزدیکی دارد تا اطمینان حاصل کند که فیدهای قیمت مستعد دستکاری نیستند. تیم رداستون نیازهای منحصر به فرد مشتریان خود را در نظر میگیرد تا یکپارچگی دادهها حفظ شود و از موارد دستکاری قیمت توکنها تا حد ممکن جلوگیری شود.
اکسپلویت Rodeo Finance
مبلغ از دست رفته: حدود ۸۸۵ هزار دلار
Rodeo Finance به دلیل پیادهسازی نادرست اوراکل میانگین قیمت وزنیشده زمانی مورد سوءاستفاده قرار گرفت. در نتیجه، یک مهاجم توانست از قیمت نادرست اتریوم برای سرقت نقدینگی پروتکل بهرهبرداری کند.
اقدامات پیشگیرانه رداستون
رداستون چندین فید قیمت برای یک دارایی معین را جمعآوری میکند و هرگز تجربه یک اکسپلویت موفق را نداشته است.
نتیجهگیری
رداستون به ارائه فیدهای دادهای به برخی از کاربردهای بلاکچین پرکاربردترین فعلی که اکنون میلیاردها دلار در کل سیستم بلاکچین را ایمن میکنند، افتخار میکند. طراحی مدولار رداستون امکان پیادهسازیهای اختصاصی برنامه برای فیدهای داده را فراهم میکند و ستون فقرات ضروری برای تعامل Dappها با دادههای دنیای واقعی را ارائه میدهد.