Помилка Oracle залишила кредитора DeFi Moonwell з боргом у 1,8 мільйона доларів

Коротко

• Налаштований неправильно оракул оцінив cbETH приблизно в $1 замість приблизно $2 200.
• Ліквідації забрали 1096,317 cbETH і знищили заставу позичальників.
• Протокол залишився з боргом у 1,78 мільйона доларів у поганому боргу, очікуючи рішення керівництва.

Збої у цінуванні в неділю вранці перетворилися на багатомільйонний головний біль для платформи DeFi-кредитування Moonwell, після того, як “неправильно налаштований оракул” короткостроково оцінив Coinbase Wrapped ETH (cbETH) усього в $1. Помилка у цінуванні спричинила зниження ціни активу на 99,9% від його фактичної ринкової вартості приблизно $2 200. Це викликало хвилю ліквідацій, що в кінцевому підсумку залишило платформу з приблизно 1,78 мільйона доларів у поганому боргу. «Як тільки ми виявили проблему, наш менеджер з ризиків @anthiasxyz швидко зменшив ліміт позик у cbETH до 0,01, щоб обмежити подальший ризик для протоколу», — написала Moonwell у X у понеділок. «Ліміт пропозиції також був знижений до 0,01, щоб запобігти новим користувачам випадково постачати на уражений ринок.» 

У повідомленні на форумі Moonwell у понеділок компанія Anthias Labs, що займається управлінням ризиками, повідомила, що помилка сталася о 18:01 за UTC 15 лютого, коли було виконано пропозицію управління DAO Moonwell, MIP-X43, що дозволило контрактам-обгорткам Chainlink OEV у всіх ринках на Base і Optimism. Один із цих оракулів був неправильно налаштований і не зміг правильно оцінити вартість cbETH у доларах США. Moonwell повідомила, що замість множення курсу cbETH/ETH на ціну ETH/USD система використовувала лише сирий курс обміну cbETH/ETH. В результаті оракул повідомив ціну cbETH приблизно у $1,12. Торгові боти почали цілитися у заставні позиції cbETH, і оскільки система вважала, що cbETH коштує трохи більше $1, ліквідатори змогли погасити борг приблизно у $1, щоб забрати 1096,317 cbETH, повідомила компанія. «Це знищило більшу частину або всю заставу cbETH для багатьох позичальників, залишивши значний поганий борг у їхніх позиціях, оскільки погашена сума була значно нижчою за фактичну позичену вартість», — написала Anthias Labs.

Спотворене цінування також дало змогу для експлуатації. «Менша кількість користувачів використала спотворене цінування для мінімального постачання застави, надмірного позичання cbETH за штучно заниженою ціною та миттєвого створення додаткового поганого боргу, номінованого у cbETH», — додала компанія. Хоча неправильно налаштований оракул отримав більшу частину вини, користувачі у X почали поширювати зображення MIP-X43, яке нібито було співавтором Клодом Опусом 4.6, де деякі назвали це “помилкою в коді” або “віб-кодінгом”. На запит Decrypt щодо помилки та отриманої експлуатації представник Moonwell відмовився коментувати. Загалом, за даними посту, Moonwell залишився з боргом у 1 779 044 долари у різних ринках. За словами Moonwell, найближчим часом голосування керівництва розгляне питання налаштування оракула після необхідного періоду таймлок. Moonwell є останнім у зростаючому списку DeFi-проектів, які були скомпрометовані через неправильно налаштовані оракули. У грудні Ribbon Finance втратила близько 2,7 мільйона доларів через неправильне масштабування у оновленні оракула, що спотворило ціноутворення активів і дозволило надмірне забезпечення. У січні платформа DeFi Makina Finance була скомпрометована через маніпуляцію оракулом за допомогою флеш-займів, що дозволило зловмиснику вивести приблизно 4 мільйони доларів у ETH.