2022 年 10 月,Mango Markets 因預言機價格操縱損失了 1.16 億美元。
2022 年 5 月,Venus 因預言機價格更新延遲損失了 1,120 萬美元。
去年 7 月,Rho Markets 在一次合約升級導致錯誤的預言機定價後,損失了 760 萬美元。
事實上,這些損失本可以完全避免。如何做到?請繼續閱讀。
預言機:DeFi 協議的生命線
預言機將資料輸入區塊鏈,是借貸和衍生性商品等 DeFi 用例的基礎。然而,包括 Compound、Cream Finance、Mango Markets、Venus 和 Rho Markets 在內的許多大型專案,都曾因預言機相關攻擊遭受重大損失。
試想一下,你存入一個 ETH 到借貸平台,原本期待借出一些資產,結果卻發現你的抵押品價值超過 6 萬 3 千美元!你可能以為自己中了大獎。但對於協議團隊來說,這是一場噩夢。 Rho Markets 去年就發生了這種情況。
價格異常:被忽視的致命缺陷
2024 年 7 月 19 日,Rho Markets 升級了其智能合約以推出新的資產市場。然而,部署腳本中的配置錯誤導致來自預言機的 BTC 和 ETH 價格被對調。結果,ETH 價格被錯誤地誇大了 20 倍,使得用戶能夠以極低的成本借入巨額資金,最終導致 760 萬美元的損失。
關鍵時間軸 (UTC):
- 1️⃣ 08:58:29 (區塊 7580110) — 預言機返回了正常的 ETH 價格。
-
2️⃣ 08:58:32 (區塊 7580111) — 預言機合約被更新。交易雜湊:https://app.blocksec.com/explorer/tx/scroll/0x9d2388a0c449c6265b968d86f0f54e75a5b82e2b04176e35eefdff5f135547ec
-
3️⃣ 08:58:34 (區塊 7580112) — 一個區塊之後,預言機返回的 ETH 價格從 3,384 美元飆升至 63,653 美元(BTC 價格被錯誤地應用到了 ETH 上),是實際價值的 17 倍!
-
4️⃣ 08:59:49 — 僅僅一分鐘後,第一次攻擊發生:一個 MEV 機器人使用 84 ETH 作為抵押品借入了 942 wstETH。重複此過程,該機器人抽走了 760 萬美元。第一次攻擊的交易雜湊:https://app.blocksec.com/explorer/tx/scroll/0x0a7b4c6542eb8f37de788c8848324c0ae002919148a4426903b0fb4149f88f05
-
5️⃣ 10:33:01 — 協議上的易受攻擊組件被關閉,但為時已晚。
如果 Rho Markets 當初部署了 Phalcon 的預言機監控器,情況會有何不同?
👉 👉 Phalcon 會立即偵測到異常價格並觸發自動應急響應——徹底消除任何攻擊機會。
Phalcon 支援預言機價格異常監控:
-
價格偏差:監控預言機價格變動的幅度,並標記突發的飆升或下跌。(例如:如果價格在兩個樣本間變動超過 200%,則發出警報)
-
價格區間:設定可接受的價格邊界。(例如:如果價格移動到 2,380 美元至 4,380 美元範圍之外,則發出警報)
-
價格不匹配:將基準預言機價格與參考預言機進行比較。(例如:如果價格差異超過 30%,則發出警報)
通常,專案團隊會在合約升級或參數變更前嚴格檢查關鍵配置。然而在這次事件中,人為疏忽導致遺漏了預言機價格檢查。儘管在此案中損失的資產被 MEV 機器人歸還,但在大多數攻擊中,這種「幸運」是極為罕見的。
實際上,設定上述任何一種監控器,都能使系統立即捕獲異常預言機數值,並透過七種受支援的通知管道之一向團隊發出警報。更重要的是,人工干預往往太慢——從異常出現到被利用的時間可能非常短(在此案中僅為一分鐘)。有了 Phalcon,應急防禦會自動觸發,因此攻擊根本沒有發生的機會。
延遲與故障同樣致命
2022 年 5 月,當 $LUNA 的價格持續暴跌時,Chainlink 的內建熔斷機制被觸發,導致 $LUNA 的價格更新停滯在 0.107 美元。Venus 協議未能及時發現這一點,並繼續使用陳舊的價格進行營運。四小時後——當團隊做出反應時——實際價格已跌至 0.01 美元。在此期間,多個地址利用 $LUNA 作為抵押品借入了大量資產,導致協議損失了約 1,120 萬美元。
如果 Venus 當初部署了 Phalcon 的預言機監控器,情況會有何不同?
👉 👉 Phalcon 支援監控價格更新延遲和預言機健康檢查——確保及時且可靠的價格饋送。如果發生任何異常,團隊都會立即收到警報。
許多專案依賴單一預言機作為其價格來源,且缺乏防範價格異常的機制。當問題發生時,攻擊者獲利,用戶被清算,專案聲譽也受到重創。
Phalcon 可以監控自訂和第三方預言機(如 Chainlink 和 Pyth),提供即時的價格穩定性和準確性保證,從而防止清算和價格操縱風險。
什麼是 BlockSec Phalcon?
Phalcon 無縫結合了安全威脅防禦 (Security APP) 和合規風險管理 (Compliance APP),為用戶提供了一套集安全與合規於一體的綜合解決方案。
安全應用 (Security APP)
🔗 https://blocksec.com/phalcon/security
提供全面的發布後保護,包括:
- 即時攻擊監控
- 營運、互動、財務和自訂風險監控
- Safe{Wallet} 動態保護
- 針對代幣價格、金額、關鍵變數、敏感事件和函數呼叫的靈活監控
- 自動化應急響應(支援 EOA 和多簽錢包)
合規應用 (Compliance APP)
🔗 https://blocksec.com/phalcon/compliance
即時篩查地址並監控交易,協助虛擬資產服務提供商 (VASP) 識別風險暴露和可疑用戶活動,以滿足 AML/CFT 合規要求。
🔥 立即試用
BlockSec Phalcon 現已支援超過 30 個大型區塊鏈,包括 Ethereum、BSC、Solana、Base、Tron、Arbitrum、Avalanche、Optimism、Manta、Merlin、Mantle、Sei、Bitlayer、Core、BoB、Story、Sonic、Gnosis 和 Berachain。
立即預約產品演示!點擊 這裡 或造訪下方連結。只需 10 秒即可開始——前 30 名註冊者可獲得免費試用!
