Piratage des Oracles et mesures préventives de RedStone
- Team RedStone France
- 18 août 2024
- 6 min de lecture
Il est essentiel que les utilisateurs comprennent pourquoi le piratage des oracles se produit et comment ils peuvent avoir un impact sur la sécurité d’un service décentralisé. La prévention de ces attaques est fondamentale pour améliorer la réputation du Web 3.0. Cet article présente une analyse approfondie des précédentes attaques d’oracles et explique comment RedStone Oracles est spécifiquement conçu pour empêcher ces incidents de se produire pour ses clients.
Que sont les piratages d’Oracle aussi appelés “Oracle Exploits” ?
Les piratages d’Oracle décrivent la manipulation intentionnelle d’un oracle conduisant à des exécutions erronées de contrats intelligents d’une dApp.
Exemple illustratif
Si le prix d’un jeton A sur Uniswap est artificiellement augmenté et ensuite fourni par un oracle à Aave, un malfaiteur pourrait profiter du prix incorrectement rapporté pour essentiellement voler des fonds à Aave. Sachant qu’un seul prix est communiqué à Aave (celui d’Uniswap), l’attaquant profite du fait que l’oracle communique le prix incorrect du jeton A pour exploiter Aave.
Qu’est-ce que la manipulation de marché ?
La manipulation de marché est un terme plus général qui désigne le fait de contrôler artificiellement le prix d’un actif en modifiant l’équilibre naturel de l’offre et de la demande. La principale différence entre une manipulation d’oracle et une manipulation de marché réside dans le fait qu’une manipulation d’oracle entraîne la publication de données incorrectes, tandis que la manipulation de marché décrit l’action de modifier les prix des actifs. Un exemple simple de manipulation de marché est le système de « pump-and-dump ». Ce stratagème consiste à gonfler artificiellement le prix d’une crypto-monnaie par des achats coordonnés, puis à revendre l’actif gonflé pour réaliser des bénéfices aux dépens d’opérateurs peu méfiants.
Un aperçu des précédentes manipulations d’Oracles
Vous trouverez ci-dessous une liste des précédentes manipulations d’Oracles dans le Web 3.0 ainsi que les mesures de sécurité respectives de RedStone, qui font de RedStone un fournisseur de données fiable.
Fait intéressant : RedStone Oracles fournit des flux de données depuis des années, sécurisant des milliards de dollars de valeur, et n’a jamais été manipulé.
Piratage de Synthetix
Fonds perdus : ~1 milliard de dollars
En 2019, l’oracle a annoncé un prix du won coréen 1000 fois supérieur au prix réel. En conséquence, un robot d’arbitrage a exploité l’erreur en réalisant des profits considérables… L’erreur est due au fait qu’un oracle centralisé n’a pas validé les données de prix de manière adéquate avant de les transmettre au protocole Synthetix.
Les mesures préventives de RedStone
RedStone met en œuvre un système de vérification (détection des valeurs aberrantes) pour s’assurer que les données fournies ne s’écartent pas de manière significative du prix précédent d’un actif. Ce système sert de tampon, car la communication d’une valeur extrême pour un prix peut avoir un impact significatif sur la performance d’un protocole financier décentralisé (DeFi), comme l’illustre l’erreur de Synthetix.
Piratage de Compound
Fonds perdus : ~89 millions de dollars.
En 2020, 89 millions de dollars ont été perdus lorsque l’oracle de Coinbase Pro a incorrectement indiqué que le prix du stablecoin DAI était de 1,3 $ au lieu de 1,0 $. Ce prix erroné a entraîné un nombre important de liquidations inutiles. Dans ce cas, Compound s’est fié à un seul oracle centralisé pour le prix du $DAI.
Les mesures préventives de RedStone
RedStone évite de signaler un flux de prix incorrect en agrégeant des flux de données provenant de sources multiples, y compris les échanges centralisés, les échanges décentralisés et les agrégateurs de données sur les crypto-monnaies. Généralement, les prix fournis aux dApps sont une valeur médiane calculée à partir de toutes les sources de données, ce qui constitue un deuxième niveau de contrôle, même si un seul flux de prix incorrect est accepté comme étant correct. RedStone offre aux développeurs de dApps la possibilité d’exclure immédiatement et automatiquement les prix d’une source de données spécifique si l’on soupçonne qu’une source de données est compromise.
Piratage de bZx
Fonds perdus : ~355K
La fraude de bZx a consisté à manipuler les prix du wBTC et du sUSD en profitant de la faible liquidité de ces actifs sur un marché boursier. Le pirate a exécuté une série de transactions qui ont finalement permis de retirer des fonds du protocole.
Un aperçu détaillé du schéma de transactions utilisé par le pirate est disponible ici : https://peckshield.medium.com/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc
Les mesures préventives de RedStone
RedStone s’appuie sur le prix moyen pondéré par les liquidités (LWAP) pour s’assurer que les prix, même s’ils sont manipulés en bourse, ne donnent pas lieu à une déclaration erronée importante du prix de l’actif en question. RedStone reçoit également les prix des actifs à partir d’une combinaison de bourses où il y a suffisamment de liquidités pour un actif donné.
Piratage de Mango Markets
Fonds perdus : ~117 millions de dollars
En 2022, Avraham Eisenberg a exploité Mango Markets en manipulant le prix du jeton MNGO, peu liquide. Il a utilisé des prêts éclair et des transactions à effet de levier pour créer un pic de prix artificiel, ce qui lui a permis d’emprunter contre la garantie collatérale gonflée, drainant 117 millions de dollars du protocole.
Les mesures préventives de RedStone
RedStone met en œuvre un prix moyen pondéré par la liquidité (LWAP) pour s’assurer que la manipulation des prix due à une faible liquidité n’a pas d’influence significative sur un protocole.
Piratage de BonqDAO
Fonds perdus : ~120 millions de dollars
En 2023, BonqDAO a été exploité en raison d’un bug dans le contrat intelligent de flux de prix du protocole Tellor Oracle. Le pirate a pu modifier le prix d’une crypto-monnaie pour manipuler le protocole par le biais de son mécanisme d’emprunt et l’a finalement vidé de 120 millions de dollars.
Les mesures préventives de RedStone
Les contrats intelligents de RedStone ont été vérifiés par plusieurs cabinets d’audit, dont Quantstamp, AuditOne, Peckshield et ABDK. RedStone s’engage à allouer des fonds à l’entreprise pour s’assurer que ses contrats intelligents sont rédigés conformément aux recommandations des professionnels de l’audit. De plus, le cofondateur de RedStone, Jakub Wojciechowski, a précédemment travaillé en tant qu’auditeur de contrats intelligents, apportant ainsi son expertise à RedStone.
Piratage d’0VIX
Fonds perdus : ~2 millions de dollars
Le protocole 0VIX sur Polygon a été exploité en 2023 en raison d’une vulnérabilité dans la capacité du vGHST à manipuler son prix par le biais de dons. L’attaquant a utilisé des prêts flash et a manipulé le prix via une opération d’Oracle spécialisée appelée VGHSTOracle. Cette manipulation a gonflé le prix du token, permettant la création et la liquidation de positions de dette à effet de levier à des fins lucratives.
Les mesures préventives de RedStone
RedStone travaille en étroite collaboration avec les développeurs d’applications pour s’assurer que les flux de prix ne sont pas susceptibles d’être manipulés. L’équipe de RedStone prend en compte les besoins spécifiques de ses clients afin de garantir l’intégrité des données et d’éviter, dans la mesure du possible, les cas de manipulation des prix des tokens.
Piratage de Rodéo Finance
Fonds perdus : ~885K
Rodeo Finance a été exploité en raison d’une implémentation incorrecte de l’oracle du prix moyen pondéré dans le temps. En conséquence, un pirate a pu profiter d’un prix erroné de l’Ethereum pour voler la liquidité du protocole.
Les mesures préventives de RedStone
RedStone agrège plusieurs flux de prix pour un actif donné et n’a jamais connu de piratage réussi.
Conclusion
RedStone est fier de fournir des flux de données à certaines des applications blockchain les plus utilisées aujourd’hui, sécurisant des milliards de dollars à travers l’ensemble du système de la blockchain. La conception modulaire de RedStone permet des implémentations de flux de données spécifiques aux applications, offrant ainsi la structure de base nécessaire aux dApps pour interagir avec les données du monde réel.
. . .
À propos de RedStone
RedStone est l’oracle modulaire à la croissance la plus rapide, fournissant des flux de données diversifiés et à haute fréquence aux réseaux EVM Layer1, Layer2, Rollup-as-a-Service, et au-delà, c’est-à-dire Starknet, Fuel Network, Casper ou TON. En répondant aux tendances du marché et aux besoins des développeurs, RedStone peut prendre en charge des actifs qui ne sont pas disponibles ailleurs. La conception modulaire permet d’adapter les modèles de consommation de données à des cas d’utilisation spécifiques, par exemple la LSTfi des faibles investissements et la prise en charge précoce des LRT. RedStone a levé près de 22 millions de dollars auprès de Lemniscap, Blockchain Capital, Maven11, Arrington Capital, Coinbase Ventures, SevenX, IOSG, Stani Kulechov, Sandeep Nailwal, Alex Gluchovski, Emin Gun Sirer, et d’autres grands investisseurs en capital-risque et investisseurs providentiels.