Cointime

Cointime

Uygulamayı indirmek için QR kodu tarayın
iOS & Android

Haberin tam metni: Curve'ün oracle manipülasyon güvenlik açığına sahip olduğu ortaya çıktı

Validated Media

Daniel Von Fange'ın yazdığı

Derleyen: angelilu, Foresight News

Bağımsız araştırmacı Daniel Von Fange dün X platformunda Curve'ün oracle manipülasyonu riski taşıdığını ve bu riskin bir saldırı sırasında tespit edilmesinin zor olduğunu ortaya koyan bir makale yayınladı. Oracle manipülasyonu, oracle'ın harici olaylar veya gerçek dünya hakkında hatalı verileri raporlamasına neden olabilir ve oracle'a bağlı protokolleri manipülasyon riskine sokar. Daniel Von Fange, etkilenebilecek ilgili ekiplere bilgi verildiğini söyledi.

Curve'un kurucusu Michael Egorov, topluluktaki soruna şöyle yanıt verdi: "Bu risk, havuzların eski sürümlerinde mevcut olabilir. Havuzların eski sürümleri crvusd'da kullanılmaz ve oracle kullanımı önerilmez." Daniel de sözlerini doğruladı. Von Fange'in ifşa edilmesinin riskleri gerçektir.

Ancak Curve yazarı Fiddy, bağımsız araştırmacının bu bilgiyi tartışmasız olarak kamuya açıklama şeklinden duyduğu hoşnutsuzluğu dile getirdi ve Daniel Von Fange tarafından açıklanan güvenlik açıklarının daha önce özel olarak tartışıldığını ancak saldırganın doğruluğu artırmak istediğine inandığını söyleyerek bir açıklama yayınladı. Gaz ücretlerini artırmanın maliyeti yüksektir ve dış denetim de bunu düşük etki olarak sınıflandırmıştır. Araştırmacının ortaya çıkardığı güvenlik açığı, Curve'ün last_price fiyatını kullanan eski kripto takas algoritmasıyla ilgili, ancak daha yeni kripto takas uygulaması, bu tür sorunları çözebilecek AMM durum fiyatını kullanıyor. Buna ek olarak, yAuditDAO şu anda düzeltilmekte olan bazı oracle hataları buldu.Kimse bu oracle'ları kullanmıyor ve bu stabilcoin ticaret havuzlarındaki LP'ler (likidite sağlayıcıları) etkilenmedi.

Ancak bazı ekipler, açıklanan risklere göre güvenliği artıracak şekilde protokolü ayarlamaya başladı bile. Yearn Finance geliştiricisi @storming0x ayrıca Daniel Von Fange tarafından açıklanan risklere yanıt vererek şunları söyledi: "Potansiyel saldırı yollarını azaltmak için Chainlink'in artıklık mekanizmasını kullanan bir sözleşme dışında Yearn sözleşmeleri etkilenmez. yeni sürümü yeniden dağıtın."

Daniel Von Fange'nin Eğri kehanetindeki fiyat manipülasyonu riskine ilişkin açıklamasının tam metni aşağıdadır:

Geçtiğimiz iki hafta boyunca Curve'ün fiyat kahinlerini araştırdım ve son derece sıra dışı davranışlar keşfettim.

Bu kehanetler düşündüğünüz gibi çalışmıyor; onları manipüle etmek sandığınızdan daha kolay ve normal koşullar altında ters gidebilirler.

Kısa genel bakış: Çoğu havuzda, bir saldırgan Curve'ün fiyat kehanetini tek bir blokta normal fiyatın 10 katı ile 500 katı arasında manipüle edebilir. Ve manipülasyon gizlenebilir, böylece havuza baktığınızda manipüle edildiğine dair hiçbir işaret kalmaz.

Pek çok Eğri havuzu vardır ve hiç kimse farklı havuzlardaki kod tabanlarının sayısını doğru bir şekilde sayamaz.

Yazdıklarım belirli havuzlar için geçerli olabilir veya olmayabilir. Farklı havuzların farklı güvenlik açıkları vardır. Belki bazı havuzlarda hiç delik yoktur.

Curve ekibi raporu alarak, tartışarak mükemmel bir iş çıkardı ve birkaç dakika içinde CrvUSD'nin bu sorunlardan etkilenmediğini doğruladı.

Ayrıca ana ağda Curve fiyat kahinlerini kullanan yaklaşık 100 sözleşmeyi de kontrol ettim ve uygun olan yerlerde ilgili ekiplere bilgi verdim.

Bu güvenlik açığıyla ilgili önemli bir sorun, fiyat 1:1'e yakın olmadığında veya işlem ücreti yüksek olduğunda last_price'ın yanlış hesaplanabilmesidir.

Öncelikle ücret, last_price hesaplamasına dahil edilmez; bu da, gerçek işlem veya havuz bakiyesinden farklı bir sayı kullanılmasına neden olur.

EMA fiyat oracle'ı last_price tarafından yönlendirilir. Last_price yanlış olduğunda fiyat kahini yanlış hedef fiyata doğru ilerlemeye başlayacaktır.

Normal ticarette, havuzdaki gerçek mevcut fiyattan yüzde birden fazla sapan fiyat kahinleri pozisyon fiyatları gördüm. En kötü senaryo daha kötü olabilir (grafikte normalleştirilmiş fiyatlar).

Havuza bağlı olarak bu drift hatası gerçek fiyattan daha yüksek veya daha düşük olabilir.

En büyük sorun, manipülasyon sırasında last_price hatasının, manipüle edilen gerçek fiyattan çok daha yüksek olabilmesi ve bu da havuz oracle'ının etkili bir şekilde manipüle edilme olasılığını önemli ölçüde artırmasıdır.

Küçük bir işlem bile nihai fiyat/oracle fiyatındaki sapmayı düzeltebilir ve bazı saçma durumlara yol açabilir.

Küçük bir işlem bile nihai fiyat/oracle fiyatındaki sapmayı düzeltebilir ve bazı saçma durumlara yol açabilir.

Büyük fiyat dalgalanmalarının ve last_price hesaplama hatalarının üst üste binen etkisi nedeniyle saldırganlar, arbitrajcılara karşı mücadele etmek için düzinelerce blokta yüksek fiyatları korumak için büyük maliyetler harcamadan bir sonraki bloktaki EMA fiyat kahinini manipüle edebilir.

Teorik olarak bir saldırgan, bu operasyonu gerçekleştirmek için gerekli olan ardışık iki bloğun madenciliğini kontrol edebilir. Bir saldırganın böyle bir fiyat saldırısını gerçekleştirmek için yeterli sermayeye sahip olması gerekirdi, ancak geçmişteki saldırganların çoğunun elinde on milyonlarca dolar vardı.

Bunu bir kenara bırakarak, Curve fiyat kehaneti manipülasyonuna karşı savunmaya yönelik ortak stratejiler ve bunların etkinliği hakkında konuşalım.

Curve v1 havuzunda manipülasyonu, gerçek fiyatı, fiyat kehanetini, son_fiyatı ve EMA fiyatını tespit etmeye çalışmak için kullanılabilecek dört sayı bulunur. Ne yazık ki, Price_Oracle fiyatını manipüle etmeye yönelik tek bir işlem, tek bir manipülasyondan sonra bunların hepsini aynı sayıya sıfırlayabilir.

Curve v2 havuzunun fiyat ölçeğini değiştirmek, fiyat kehanetinden daha zordur. Daha yavaş değişir ve ilerlemek için gerçek işlem ücreti maliyetleri gerekir. Eğer bu hızlı fiyat kahini yavaş fiyat ölçeğiyle eşleşiyorsa durum stabildir, değil mi?

HAYIR! Temel saldırı sorunu, gerçek fiyat, hızlı kehanet ve yavaş ölçek olmak üzere üç rakamı hizalamaktır. Gerçek fiyatın kontrolü kolaydır çünkü anında manipüle edilebilir. Sorun daha sonra diğer ikisi arasında bir kesişme noktası tasarlamaya dönüşür.

Saldırgan kısa süreliğine fiyatı şişirir, ardından bir sonraki blokta normale döner ve düşen fiyat kahini yükselen fiyat ölçeğiyle karşılaşıncaya kadar birkaç bloğun saldırmasını bekler. Bir bloğun Oracle'ın kafasını karıştırmaya yetmesi için gerçek fiyatın yalnızca yüksek tutulması gerekir ve bunu fiyat_ölçeği takip edecektir.

Birçok oracle, kullandıkları fiyatı Eğri oracle fiyatından maksimum 1:1 değerine sınırlayan bir sınır kullanır. Bu güzel ve aptalca yüksek değerleri dışlıyor. Bununla birlikte, bir varlığın sabitlemesi gerçekten kaldırılmışsa, bir saldırganın varlığı düşük bir fiyattan satın alabileceğini ve daha sonra onu yeniden sabitlenmiş gibi görünecek şekilde değiştirebileceğini unutmayın.

Protokol bazen bir minimum değer belirler ve Eğri fiyat kahininin yanıtı sabitin belirli bir yüzdesinin altına düşerse bu dikkate alınmaz. Ancak bir varlık gerçekten ayrıştırıldığında fiyatı göz ardı ederseniz, fiyat kehanetine sahip olmanın tüm amacını boşa çıkarmış olursunuz.

Bir diğer yaygın strateji ise başka bir AMM sisteminin fiyatına karıştırmaktır. Çoğu, diğer havuzların kalitesine ve kullanım özelliklerine bağlıdır. Daha az sıvıysa ve manipüle edilmesi daha kolaysa, amacı boşa çıkarıyor demektir.

Kötü + Kötü = Kötü.

Bir diğer yaygın strateji ise başka bir AMM sisteminin fiyatına karıştırmaktır. Çoğu, diğer havuzların kalitesine ve kullanım özelliklerine bağlıdır. Daha az sıvıysa ve manipüle edilmesi daha kolaysa, amacı boşa çıkarıyor demektir.

Kötü + Kötü = Kötü.

Stabilcoin/stablecoin alım satım çiftleri için yeni Eğri havuzu dahili olarak last_price'ı 1:1 değerinin 2 katı ile sınırlandırıyor. Bu, blok saldırısını önler çünkü last_price aptalca yüksek değerlere itilemez, dolayısıyla EMA'ya aşırı yük biner.

Ancak yanlış varlıkların yasal olarak ayrıştırılması yanlış olur.

Teminat varlıklarını fiyatlandırmak için Eğri havuzlarını kullanmak istiyorsanız muhtemelen bunu yapmamalısınız.

Daha yeni havuzların saldırı maliyetleri genellikle daha yüksektir. Hileli havuzun pazar üzerinde küçük bir etkisi varsa (belki de sadece gelir dağılımını korumak için) ve havuz simülasyonuna yönelik saldırılar maliyetliyse bu bir seçenek olabilir.

Son olarak yazar, ikilinin kullanılan havuzlar üzerinde gerçek saldırı simülasyonları yapmasını, fiyat kahininin davranışını varsayımlara veya teorilere dayalı olarak tahmin etmek yerine, fiilen kullanılan havuzlar üzerinde ayrıntılı simülasyon testleri yapılmasını önermektedir. Manipülasyon saldırılarını simüle ederek havuzun farklı durumlarda nasıl performans göstereceğini daha iyi anlayabilirsiniz.

Aşağıdaki grafik, son 90 gün içinde Curve oracle kullanımındaki artışın grafiğidir:

Bazı Curve havuzlarının iyi performans gösteren fiyat kahinleri var ve onların tuhaf davranmasını sağlayamıyorum ve tam olarak iyi performans gösteren bir EMA'dan beklediğim şeyleri yapıyorlar. Ama yine de kontrol etmek gerekiyor...

Eğri
Yorumlar

Tüm Yorumlar

Önerilen okuma

  • Musk, X'in X Payments hizmetinde havale işlevini başlatmaya hazırlandığını doğruladı

    24 Kasım tarihli habere göre Elon Musk, podcast devi Joe Rogan'ın profilinde dolar işareti simgesinin gösterildiği bir sosyal medya gönderisine yanıt olarak X'in, X Payments hizmetinde bir havale özelliği başlatmaya hazırlandığını doğruladı. Bu özellik, Musk'ın X'i WeChat benzeri bir "her şey için uygulama"ya dönüştürme stratejisinin bir parçası. X Payments LLC, çoğu ABD eyaletinde (New York Eyaleti hariç) para transferi lisansları alarak ödeme hizmetlerinin platforma entegrasyonunun temelini attı. Planlanan eşler arası ticaret özelliği, platform içerisinde doğrudan para transferlerini mümkün kılarak kullanıcı katılımını artırmayı amaçlıyor. Potansiyel kripto varlık entegrasyonuna ilişkin ayrıntılar henüz doğrulanmamış olsa da, Musk'un Dogecoin'e devam eden desteği göz önüne alındığında, toplulukta kripto para biriminin dahil edilmesinin beklendiğine dair spekülasyonlar var. Daha önce eylül ayında Musk'un yüzde yüz iştiraki olan X Payments'ın Oklahoma eyaletinden para transferi lisansı aldığı bildirilmişti. Şu ana kadar Amerika Birleşik Devletleri'nde 37 eyaletten para transferi lisansı aldığı bildirilmişti. X Payments'ın Amerika Birleşik Devletleri'ndeki 50 eyaletin tamamında lisans almayı hedeflediği ve bu yılın sonlarında Amerika Birleşik Devletleri genelinde ödeme hizmetlerini başlatmayı umduğu bildirildi.

  • Robinhood Baş Hukuk Sorumlusu Dan Gallagher, SEC Başkanı Olarak Görev Yapmayacağını Açıkladı

    Piyasa haberlerine göre, Robinhood Baş Hukuk Sorumlusu Dan Gallagher, ABD Menkul Kıymetler ve Borsa Komisyonu'nun başkanlığını yapmayacağını söyledi.

  • Kripto para biriminin siyasi eğilimleri: Trump'ın seçilmesi son boğa koşusunu tetikledi

    Bitcoin'in 100.000 doları hedeflemesi ve "Fıstık Sincabı"nın %3.000'lik kazançla manşetlere çıkmasıyla kripto para birimleri bu tatil sezonunda geri dönüş yaptı. Aile üyeleri Bitcoin'i, memecoin'leri ve "şu Elon Twitter saçmalığını" tartışacak ve siz, belirlenmiş "kripto para birimi uzmanı" olarak ortalama bir insanın kalbini kazanmak için konuşacak bir şeye ihtiyacınız var. Kripto para özgürlükçü bir çılgınlıktır. Trump 'Kripto Çarı'nı Düşünüyor, Bitcoin Yeni Zirvelere Ulaşıyor, Blackstone IBIT Opsiyon Lansmanı, Bitcoin'in Programlanabilirliği Yeniden Canlanıyor, Trump SEC Başkanı için Kripto Para Avukatı Olarak Düşünüyor, Ticaret Bakanı olarak Howard Lutnick'i Seçiyor. Trump'ın seçilmesi ve zaferi, çoğu kişinin artık MAGA ve Elon'un D.O.G.E aldatmacasının en kötü aşırılıkları ile ilişkilendirdiği en son kripto para birimi boğa koşusunu ateşledi. Sol eğilimli akrabalarınızın yeni Cumhuriyetçi yönetimin kripto para birimlerini bu kadar güçlü bir şekilde desteklediğini görmesinin sizin durumunuza bir faydası olmaz. Kuzeniniz Bitcoin'i kırmızı ve turuncuyla ilişkilendirildiği için satın almıyorsa gerçeklere dönün.

  • Kosinüs: Bir kullanıcı arka kapılı kod kullanarak bir bot yazmak için GPT'yi kullandıktan sonra, özel anahtar bir kimlik avı web sitesine gönderildi.

    Slow Mist Cosine tarafından yayınlanan bir makaleye göre. Cosine, GPT/Claude gibi LLM'leri kullanırken bu LLM'lerdeki yaygın aldatmacaya dikkat etmemiz gerektiğini hatırlatıyor. Daha önce AI zehirlenme saldırılarından bahsetmiştik ve şimdi bu, Crypto endüstrisine yönelik gerçek bir saldırı vakasıdır.

  • American Blockchain Association, Trump yönetimine kripto düzenleme önerileri sundu

    Amerikan Blockchain Derneği Önceliklerini duyurdu. Temel içerikler şunları içerir: bir kripto para birimi düzenleme çerçevesi oluşturmak, kripto para birimi ve blockchain teknolojisi şirketlerinin banka işlemlerinin sona erdirilmesi, yeni bir SEC başkanı atamak ve SAB121'i iptal etmek, Hazine Bakanlığı ve IRS için yeni liderlik atamak ve birlikte çalışarak bir kripto para birimi danışma komitesi oluşturmak. Kongre ve federal düzenleyiciler.

  • ABD Yüksek Mahkemesi, Facebook'un hissedar menkul kıymet dolandırıcılığı davasını önleme girişimini reddetti

    ABD Yüksek Mahkemesi, META'nın sahibi olduğu Facebook'un hissedar menkul kıymet dolandırıcılığı davasından kaçınmaya çalıştığı davayı reddetti.

  • Amerika Birleşik Devletleri'nde Kasım ayında son bir yıllık enflasyon oranının, beklenen %2,7 ve önceki değer olan %2,60'a kıyasla %2,6 olması bekleniyor.

    Amerika Birleşik Devletleri'nde Kasım ayındaki son bir yıllık enflasyon oranının, beklenen %2,7 ve önceki değer olan %2,60'a kıyasla %2,6 olması bekleniyor. Beş ila on yıllık ABD enflasyon oranının Kasım ayındaki nihai beklenen değeri, beklenen %3,1 ve önceki değer olan %3,10'a kıyasla %3,2 oldu.

  • Tahmin piyasası platformu Polymarket, düzenleyici soruşturma nedeniyle Fransız kullanıcılarına erişimi askıya aldı

    Merkezi olmayan tahmin piyasası platformu Polymarket, Fransız kullanıcıların platformuna erişimini askıya aldığını duyurdu. Hareket, Fransa Ulusal Kumar Otoritesi'nin (ANJ) platforma yönelik bir kumar uyumluluğu soruşturması başlatmasından haftalar sonra geldi. Soruşturmanın, platformda Trump'ın 2024 ABD başkanlık seçimlerinde zaferi üzerine büyük bir bahis oynayan Fransız bir tüccardan kaynaklandığı aktarılıyor. Polymarket bir IP yasağı uygulamış olsa da, Fransız kripto para haber sitesi The Big Whale, kullanıcıların platforma hala bir VPN aracılığıyla erişebileceklerini bildirdi. Basın tarihi itibarıyla Polymarket Hizmet Koşulları ilgili kısıtlamaları güncellememiştir.

  • İngiltere, 2025'in başlarında kripto para birimi ve stablecoin düzenlemelerini açıklayacak

    Birleşik Krallık İşçi Partisi hükümeti, düzenlemeyi basitleştirmeyi ve stabilcoinler ve staking gibi önemli alanları ele almayı amaçlayan kapsamlı bir kripto para birimi düzenleme çerçevesini 2025'in başlarında açıklayacak. İngiltere, sektörü düzenlemeye yönelik küresel yarışı yansıtan kripto para birimi çerçevesini gelecek yıl yayınlamayı planlıyor; Avrupa Birliği gibi diğer yetki alanları ise halihazırda inovasyon ve ekonomik fırsatları çekmek için stratejiler geliştiriyor. Birleşik Krallık hükümeti, 2025'in başlarında Londra Şehri'ndeki Küresel Tokenizasyon Zirvesi'nde kripto para birimi endüstrisi için birleşik bir düzenleyici çerçeve sunma planlarını açıkladı. Yeni çerçevenin bir parçası olarak, stabilcoinler artık Birleşik Krallık'ın mevcut ödeme hizmetleri kurallarına göre düzenlenmeyecek. Hükümet, bu düzenlemelerin mevcut kullanım durumları için uygun olmadığına inanıyor. Bu değişim, Birleşik Krallık'ın yaklaşımını, istikrar için genellikle ABD doları gibi varlıklara sabitlenen stablecoin'lerin gelişen doğasıyla uyumlu hale getirmeyi amaçlıyor.

  • Amazon, "OpenAI rakibi" Anthropic'e 4 milyar dolar daha yatırım yapacak

    Amazon ve Anthropic işbirliklerini derinleştiriyor ve birbirlerine 4 milyar ABD doları daha yatırım yapacak. Bu yılın eylül ayında yapay zeka girişimi Anthropic, 40 milyar dolara varan değerlemeyle yeni bir finansman turu arıyordu. Anthropic, 2021 yılında eski OpenAI yöneticileri tarafından kurulan ve açıklanabilir, güvenli ve kontrol edilebilir yapay zeka sistemleri oluşturmaya odaklanan bir şirkettir. Şirketin amiral gemisi yapay zeka modeli Claude, çıktısını yönlendirmek ve hatalı veya ayrımcı çıktıları önlemek için önceden tanımlanmış ilkeleri kullanan bir yapay zeka modeli olan "Anayasal Yapay Zeka" üzerinde çalışıyor.

Günlük Seçimler

Cointime
İçerikler
Şirket.