شکاف‌های امنیتی اوراکل و تدابیر پیشگیرانه RedStone

برای کاربران ضروری است که درک کنند چرا اکسپلویت‌های اوراکل رخ می‌دهند و چگونه می‌توانند بر امنیت یک سرویس غیرمتمرکز تأثیر بگذارند. جلوگیری از اکسپلویت‌ها برای بهبود شهرت وب 3.0 اساسی است. در این مقاله، یک تحلیل جامع از اکسپلویت‌های اوراکل مورد بررسی قرار می‌گیرد و نحوه طراحی خاص اوراکل‌های رداستون برای جلوگیری از وقوع این حوادث برای مشتریان آن‌ها توضیح داده می‌شود.

اکسپلویت‌های اوراکل به دستکاری عمدی یک اوراکل اشاره دارند که منجر به اجرای نادرست قراردادهای هوشمند یک دی‌اَپ می‌شود.

مثال 

اگر قیمت یک توکن A در یونی‌سواپ به طور مصنوعی افزایش یابد و سپس توسط یک اوراکل به Aave ارائه شود، یک مهاجم می‌تواند از قیمت نادرست گزارش شده برای سرقت وجوه از Aave بهره‌برداری کند. با دانستن اینکه فقط یک فید قیمت به Aave ارائه می‌شود (قیمت‌گذاری یونی‌سواپ)، مهاجم از گزارش قیمت نادرست توکن A توسط اوراکل برای سوءاستفاده از Aave بهره می‌برد.

دستکاری یا مَنِپولِیشن بازار یک اصطلاح کلی‌تر است که به کنترل مصنوعی قیمت یک دارایی از طریق تغییر تعادل طبیعی عرضه و تقاضا اشاره دارد. تفاوت اصلی بین یک اکسپلویت اوراکل و مَنِپولِیشن بازار این است که یک اکسپلویت اوراکل منجر به گزارش داده‌های نادرست می‌شود، در حالی که مَنِپولِیشن بازار عمل تغییر قیمت دارایی‌ها را توصیف می‌کند. یک مثال ساده از مَنِپولِیشن بازار، طرح پامپ و دامپ است. این طرح شامل افزایش مصنوعی قیمت یک ارز دیجیتال از طریق خرید هماهنگ و سپس فروش دارایی پامپ شده برای کسب سود به ضرر معامله‌گران بی‌خبر می‌شود.

در زیر لیستی از اکسپلویت‌های قبلی اوراکل در وب 3.0 همراه با پیاده‌سازی‌های امنیتی مربوطه رداستون ارائه شده است که رداستون را به یک ارائه دهنده داده قوی تبدیل می‌کند.

واقعیت: اوراکل‌های رداستون سال‌هاست که فیدهای داده‌ای را برای تامین امنیت میلیاردها دلار ارزش ارائه داده‌اند و هرگز مورد سوءاستفاده قرار نگرفته‌اند.

مبلغ از دست رفته: حدود ۱ میلیارد دلار

در سال ۲۰۱۹، یک اوراکل قیمت وون کره‌ای را ۱۰۰۰ برابر بیشتر از قیمت واقعی گزارش داد. در نتیجه، یک بات آربیتراژ از این اشتباه سوءاستفاده کرد و سود قابل توجهی کسب کرد. این خطا به دلیل عدم اعتبارسنجی کافی داده‌های قیمت توسط یک اوراکل متمرکز قبل از تغذیه آن به پروتکل سینتتیکس رخ داد.

اقدامات پیشگیرانه رداستون

رداستون یک سیستم بررسی (تشخیص پرت) را پیاده‌سازی می‌کند تا اطمینان حاصل کند که یک فید داده ارائه شده به طور قابل توجهی از قیمت قبلی یک دارایی منحرف نمی‌شود. این به عنوان یک بافر عمل می‌کند، زیرا گزارش یک مقدار افراطی برای یک قیمت می‌تواند تأثیر قابل توجهی بر عملکرد یک پروتکل مالی غیرمتمرکز (DeFi) داشته باشد، همانطور که در اکسپلویت سینتتیکس نشان داده شده است.

مبلغ از دست رفته: حدود ۸۹ میلیون دلار

در سال ۲۰۲۰، زمانی که اوراکل کوین‌بیس پرو به اشتباه قیمت استیبل‌کوین دای (DAI) را ۱.۳ دلار به جای ۱ دلار گزارش کرد، ۸۹ میلیون دلار ضرر وارد شد. این قیمت نادرست منجر به مقدار قابل توجهی از لیکویید شدن‌های غیرضروری شد. در این مورد، کامپاوند برای قیمت دای به یک اوراکل متمرکز واحد تکیه کرده بود.

اقدامات پیشگیرانه رداستون

رداستون با جمع‌آوری داده‌های قیمتی از منابع متعدد، از جمله صرافی‌های متمرکز، صرافی‌های غیرمتمرکز و گردآورنده‌های داده کریپتو، از گزارش فید قیمت نادرست جلوگیری می‌کند. به طور معمول، قیمت‌هایی که به dapp ها ارائه می‌شوند، مقدار میانی محاسبه‌شده از همه منابع داده هستند که حتی در صورت پذیرش یک فید قیمت نادرست به عنوان قیمت صحیح، به عنوان لایه دوم بررسی عمل می‌کنند. رداستون به توسعه‌دهندگان dapp این امکان را می‌دهد که در صورت مشکوک شدن به نفوذ یک منبع داده، فوراً و به طور خودکار قیمت‌های آن منبع را حذف کنند.

مبلغ از دست رفته: حدود ۳۵۵ هزار دلار

اکسپلویت bZx شامل سوءاستفاده از نقدشوندگی پایین دارایی‌ها در یک صرافی برای دستکاری قیمت‌های wBTC و sUSD بود. مهاجم مجموعه‌ای از تراکنش‌ها را اجرا کرد که در نهایت به برداشت وجوه از پروتکل منجر شد.

توضیحاتی در مورد جزئیات طرح تراکنش‌های استفاده‌شده توسط مهاجم را می‌توانید در اینجا پیدا کنید.

لینک: https://peckshield.medium.com/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc

اقدامات پیشگیرانه رداستون

رداستون از میانگین قیمت وزنی‌شده نقدینگی (LWAP) استفاده می‌کند تا اطمینان حاصل کند که حتی در صورت دستکاری قیمت در صرافی، گزارش قیمت آن دارایی به طور قابل توجهی نادرست نشود. رداستون همچنین قیمت دارایی‌ها را از مجموعه‌ای از صرافی‌ها دریافت می‌کند که در آنها نقدینگی کافی برای دارایی موردنظر وجود دارد.

مبلغ از دست رفته: حدود ۱۱۷ میلیون دلار

در سال ۲۰۲۲، آبراهام آیزنبرگ با دستکاری قیمت توکن MNGO با نقدشوندگی پایین، مانگو مارکتس را اکسپلویت کرد. او از وام‌های فلش و معاملات لِورج استفاده کرد تا یک افزایش قیمت مصنوعی ایجاد کند که به او اجازه داد تا از وثیقه پامپ شده قرض بگیرد و ۱۱۷ میلیون دلار از پروتکل را تخلیه کند.

اقدامات پیشگیرانه رداستون

رداستون میانگین قیمت وزنی‌شده نقدینگی (LWAP) را پیاده‌سازی می‌کند تا اطمینان حاصل کند که دستکاری قیمت به دلیل نقدشوندگی پایین تأثیر قابل توجهی بر یک پروتکل ندارد.

مبلغ از دست رفته: حدود ۱۲۰ میلیون دلار

در سال ۲۰۲۳، BonqDAO به دلیل یک باگ در قرارداد هوشمند فید قیمت از پروتکل تلور اوراکل مورد سوءاستفاده قرار گرفت. مهاجم توانست قیمت یک ارز دیجیتال را برای دستکاری پروتکل از طریق مکانیزم قرض‌دهی آن تغییر دهد و در نهایت آن را از ۱۲ میلیون دلار تخلیه کند.

اقدامات پیشگیرانه رداستون

قراردادهای هوشمند رداستون توسط چندین شرکت حسابرسی از جمله Quantstamp، AuditOne، Peckshield و ABDK مورد آدیت و بررسی قرار گرفته‌اند. رداستون متعهد به اختصاص بودجه شرکت برای اطمینان از اینکه قراردادهای هوشمند آنها مطابق با توصیه‌های متخصصانِ آدیت نوشته شده‌اند، است. علاوه بر این، کو-فاندِر رداستون، یاکوب ووچوفسکی، پیش از این به عنوان بررسی کننده قراردادهای هوشمند فعالیت می‌کرده و تخصص خود را به رداستون آورده است.

مبلغ از دست رفته: حدود ۲ میلیون دلار

پروتکل 0VIX روی پالیگان در سال ۲۰۲۳ به دلیل آسیب‌پذیری در توانایی vGHST برای دستکاری قیمت خود از طریق کمک‌های مالی مورد سوءاستفاده قرار گرفت. مهاجم از وام‌های فلش و دستکاری قیمت از طریق پیاده‌سازی اوراکل تخصصی به نام VGHSTOracle استفاده کرد. این دستکاری قیمت توکن را افزایش داد و ایجاد و تسویه پوزیشن‌های بدهی لِورج برای کسب سود را امکان‌پذیر کرد.

اقدامات پیشگیرانه رداستون

رداستون با توسعه‌دهندگان برنامه‌ها همکاری نزدیکی دارد تا اطمینان حاصل کند که فیدهای قیمت مستعد دستکاری نیستند. تیم رداستون نیازهای منحصر به فرد مشتریان خود را در نظر می‌گیرد تا یکپارچگی داده‌ها حفظ شود و از موارد دستکاری قیمت توکن‌ها تا حد ممکن جلوگیری شود.

مبلغ از دست رفته: حدود ۸۸۵ هزار دلار

Rodeo Finance به دلیل پیاده‌سازی نادرست اوراکل میانگین قیمت وزنی‌شده زمانی مورد سوءاستفاده قرار گرفت. در نتیجه، یک مهاجم توانست از قیمت نادرست اتریوم برای سرقت نقدینگی پروتکل بهره‌برداری کند.

اقدامات پیشگیرانه رداستون

رداستون چندین فید قیمت برای یک دارایی معین را جمع‌آوری می‌کند و هرگز تجربه یک اکسپلویت موفق را نداشته است.

رداستون به ارائه فیدهای داده‌ای به برخی از کاربردهای بلاکچین پرکاربردترین فعلی که اکنون میلیاردها دلار در کل سیستم بلاکچین را ایمن می‌کنند، افتخار می‌کند. طراحی مدولار رداستون امکان پیاده‌سازی‌های اختصاصی برنامه برای فیدهای داده را فراهم می‌کند و ستون فقرات ضروری برای تعامل Dappها با داده‌های دنیای واقعی را ارائه می‌دهد.