報告：預言機價格操縱已造成超3000萬美元損失，且無放緩跡象

作者：Jamie Redman

譯者：念銀思唐

11 月 9 日，samczsun.com 網站的一位作者發表了一份報告，報告顯示了一些區塊鏈應用程序引發的預言機（oracle）操縱幣價的問題。該研究人員指出，截至目前，這一情況已經導致「超過 3000 萬美元的損失。」

根據來自 samczsun.com 研究員、知名白帽加密黑客 Sam Sun（Samczsun）的說法，2020 年發生了大量預言機操縱價格的情況。周一，該研究員在推特上寫道：「預言機價格操縱迄今已造成超過 3000 萬美元的損失，而且沒有放緩的跡象。」這條推文還附上了一篇在該研究人員的門戶網站上寫的博客文章：「故而你想用價格預言機（So you want to use a price oracle）。」

在這篇文章中，他解釋說，在 2019 年底，他發表了一篇名為「從欠抵押貸款中取樂並牟利（Taking undercollateralized loans for fun and for profit）」的帖子，並解釋了他可以如何攻擊基於 ETH 的 DApp。他所提及的 DApp 特別依賴於一些加密資產的預言機價格數據。

「現在是 2020 年末，不幸的是，還是有許多項目都犯了類似的錯誤。」該報告強調，「最近的一個例子是 Harvest Finance 黑客攻擊事件，導致協議用戶集體損失 3300 萬美元。」

基本上，預言機是一種協議，可以記錄鏈上和鏈外數據，並將數據提交到以太坊這樣的區塊鏈中。這些預言機用於智能合約、自動做市商（AMM）、交易平台，其中一個流行的基於 ETH 的預言機是 Chainlink。報告指出，開發人員已經意識到一些與預言機有關的問題，但是「預言機操縱價格顯然不是人們經常考慮的問題。」

報告補充道：

「相反，基於可重入性的漏洞利用在過去幾年中有所下降，而基於預言機價格操縱的漏洞利用率現在正在上升。」

然而，該報告並不僅僅是提出批評。samczsun.com 也有相應版塊介紹了預言機、預言機操作以及如何抵禦攻擊。此外，報告還討論了過去發生的六個漏洞。

例如，這篇文章提到了欠抵押貸款（undercollateralized loans）、Synthetix sKRW 預言機故障、yVault bug、Synthetix MKR 操縱、Harvest Finance 黑客攻擊事件以及 Bzx 黑客攻擊事件。

Synthetix MKR操縱的演示。圖片來源：Samczsun.com。

Samczsun.com 的研究還總結了 2020 年 10 月 26 日發生的 Harvest Finance 事件。

「攻擊者通過交易壓低 Curve 池中 USDC 的價格，並以較低的價格進入 Harvest 池。」調查結果指出，「（攻擊者）通過逆轉先前的交易恢復了價格，並以更高的價格退出了 Harvest 池。這導致了超過 3300 萬美元的損失。」

報告得出結論：「價格預言機是 DeFi 安全的一個關鍵但常常被忽視的組成部分」。文章強調，如果 DApp 忽視了其中的一些問題，有各種可能性導致他們自食其果。「在交易過程中讀取價格信息可能是不安全的，可能會導致災難性的財務損失，」研究報告這樣寫道。