Помилка конфігурації Oracle призвела до втрати 230 тисяч доларів на ринку токенізованого золота Morpho

Ринок токенізованого золота на Morpho зазнав втрат у розмірі 230 тисяч доларів через помилку конфігурації Oracle. За словами засновника Chaos Labs Омера Голдберга, інцидент стався через помилку під час налаштування ціноутворення Oracle для ринку з обсягом 2,6 трильйона доларів.

У звіті після інциденту, поділеному на платформі X, Омер пояснив, що ймовірно, проблема з конфігурацією Oracle виникла через те, що розробник ринку PAXG/USDC не зовсім зрозумів десяткову систему платформи. Morpho Protocol дозволяє користувачам створювати децентралізовані кредитні ринки та встановлювати параметри.

Омер пояснив:

“Oracle SCALE_FACTOR був неправильно налаштований, не врахувавши різницю між десятковими значеннями в USDC (6 десяткових знаків) і PAXG (18 десяткових знаків). Це призвело до інфляції ціни на 12 десяткових знаків, завищуючи ціну золота на порядок 10^12.”

Зловмисник вчасно помітив помилку і миттєво відправив 350 доларів вартості PAXG на ринок, використавши їх для зняття 230 тисяч доларів у USDC.

Хоча інцидент, здається, стався через помилку з боку розробника, Омер зазначив, що протокол не виявив проблему, а інтерфейс користувача Morpho Protocol показував правильну ціну золота.

На його думку, це, ймовірно, сталося тому, що моніторинг безпеки зосередився на референсних цінах, а не на ціні Oracle. Morpho Protocol стверджує, що платформа залишається безпечною.

Тим часом, Омер зазначив, що інцидент підкреслює деякі ризики використання децентралізованих платформ, таких як Morpho Protocol, оскільки існує потреба у точності при налаштуванні таких кредитних ринків, особливо для параметрів, що регулюють oracles і ризики.

Він також закликав до моніторингу в реальному часі, сказавши:

“Моніторинг ризиків в реальному часі, у даному випадку відхилення між ринковою ціною Morpho та зовнішньою референсною ціною, є необхідним для запобігання інцидентам, подібним до цього.”

Проте розробник протоколу Morpho Labs відповів, зазначивши, що інцидент не був пов`язаний з жодною проблемою безпеки на його платформі. Це сталося через помилки, допущені куратором ризиків.

Команда сказала:

“Ми вважаємо, що важливо різнити між вразливостями основних смарт-контрактів і помилками на рівні курації ризиків — так, як неправильно налаштовані пари на Uniswap не вважаються експлойтами самого протоколу.”

Вони також описали інцидент як ізольовану проблему, яка не вплинула на протокол, зазначаючи, що навіть куратор ризиків відновив частину коштів і працює над поверненням кредиторів. Розробник додав, що надасть більше інструментів, щоб допомогти кураторам обмежити такі помилки в майбутньому.

Незважаючи на роз`яснення, деякі користувачі все ще вважають, що постачальник Oracle несе відповідальність і закликали Morpho Labs покладатися виключно на Chainlink для всіх своїх цінових даних. Однак команда зазначила, що їх протокол є агностичним до oracles, і кожен куратор ризиків може вільно вибирати oracles і приватні канали, які хоче.

Тим часом, співзасновник Kamino Finance Маріус зазначив, що куратор ризиків у цьому випадку не був постійним куратором ризиків, що, ймовірно, призвело до помилки. Він також підтвердив, що більшість коштів було відновлено, а проблема контролюється.

Криптоінвестор вважає, що інцидент не є експлойтом.

Попри обговорення інциденту, яке зосередилося на його впливі, Феліпе Монталеґре, співзасновник криптоінвестиційної фірми Theia Capital, вважає, що це не є значною проблемою. За його словами, втрати постачальників капіталу є невід`ємною частиною кредитної системи, оскільки навіть традиційні фінансові установи втрачають гроші на кредитуванні.

Він сказав:

“Навіть корпоративний борг з рейтингом B від Moody`s має трирічну ставку дефолту 17%. Ви не можете мати цікаву кредитну платформу, де постачальники капіталу не втрачають гроші іноді.”

Однак він визнав, що хоча куратори ризиків можуть ризикувати і втрачати кошти, основні протоколи DeFi працюють правильно і так, як і анонсовано. Він зазначив, що саме так сталося з Morpho Protocol, оскільки проблема виникла через помилку з боку керуючого фондом і не пов`язана з протоколом. Таким чином, він відзначив, що це не був експлойт DeFi у справжньому сенсі слова.