Эксплойт Venus
t.me/notothemoon
Оригинал: https://twitter.com/FrankResearcher/status/1394900231540576256
Перевели: t.me/notothemoon
1/9
Сегодня мы наблюдали манипуляцию ценой XVS — токена управления протоколом Venus на BSC.
Этот инцидент привел к ликвидации ликвидности в размере $200m и долгу в размере $100m.
Давайте проанализируем эту ситуацию
2/9
Предыдущий рекорд по объему ликвидации был установлен Compound после инцидента с ценовым ораклом DAI ($88m).
В то время Compound Open Price Feed подвергся резкой критике со стороны сообщества Chainlink, но практически такая же манипуляция была проделана в том числе с Chainlink.
3/9
Ценник в оракле сумел почти удвоиться, что позволило как минимум двум аккаунтам в Venus занять большое количество средств.
Непонятно, где именно Chainlink получает данные о ценах для XVS, но учитывая, что существует только один ликвидный рынок, это не имеет большого значения.
4/9
Один из сообразительных эксплоитеров покинул Venus, оставив их с безнадежной задолженностью $80m в BTC, которую они никогда не выплатят.
Весь их залог уже ликвидирован, так что возвращение долга не имеет смысла.
5/9
Они вывели с Binance и использовали почти $1m XVS ($52m по текущей цене) в качестве обеспечения во время пика цены.
Из протокола они могли занять 4,2k BTC ($165m), которые были отправлены в BSC Token Hub.
6/9
Второй парень немного опоздал (повторюшка?).
Однако это не помешало им заработать $17m невозмещаемого долга в Venus.
7/9
Они также вывели около 490k XVS ($28m по текущей цене) с Binance для того, чтобы использовать это в качестве гарантии залога.
Помимо этого они отправили в Token Hub заимствованные 13,4k. ETH ($39m).
8/9
Эти средства были потеряны не теми, кто должен был стать жертвой ликвидации, а обычными пользователями протокола, которые вносили в него свои деньги.
Пока Venus не найдет способ избавиться от невозмещенного долга, протокол будет иметь недостаточное обеспечение и выйти из него будет крайне затруднительно.
9/9
Я уверен, что реальный ущерб от этого происшествия больше, чем называемая цифра, но для точного анализа нужно больше времени.
Возможно, позже я найду время подсчитать весь ущерб, как сделал это с «Черным четвергом».
Комментарии ChainLinkGod:
Источник: https://twitter.com/ChainLinkGod/status/1394905207302017030
Фактически @FrankResearcher неправ, ценовые источники Chainlink совершенно точно отслеживали рыночную цену $XVS/USD во время этой волатильности.
Это не было ошибкой оракла, а проблемой ликвидности из-за каскадных ликвидаций
https://www.coingecko.com/en/coins/venus
https://market.link/feeds/24f083e3-abce-487b-b2f1-5075870eab79?network=56
Открытая система оракула неверно оценила $ DAI / USD во время произошедшего, так как эти ораклы отслеживают рынок Coinbase, который имел значительное отклонение от рыночной цены.
Ценовые источники Chainlink предоставляли полное покрытие рынка, что давало реальную стоимость XVS.
https://blog.chain.link/levels-of-data-aggregation-in-chainlink-price-feeds/