Het perpetual trading protocol van Levana – een on-chain permissionless handelsplatform – is onlangs slachtoffer geworden van een aanzienlijke oracle-aanval, resulterend in een aanzienlijk verlies van $1,14 miljoen.
In een gedetailleerd rapport van het Levana-team ontvouwde de aanval zich tussen 13 en 26 december, waarbij de aanvallers erin slaagden om 10% van de liquiditeitspools van Levana af te tappen.
De aanvallers voerden een congestieaanval uit op de Osmosis-keten, waardoor de mogelijkheid van Levana-gebruikers om deel te nemen aan de markten werd verstoord. Deze verstoring werd verder verergerd door een fout in de fee-marktcode van Osmosis en de aanwezigheid van “prijsveroudering” in de integratie van Levana met de Pyth-oracle. Deze kwetsbaarheden stelden de aanvallers in staat om prijzen te manipuleren en de pools aanzienlijk te verminderen.
Levana benadrukte een bug in de fee-marktcode van Osmosis, waarbij tijdens periodes van congestie de opgegeven gasprijs over het algemeen ontoereikend was voor het uitvoeren van transacties of het uitvoeren van lopende bot-onderhoudsactiviteiten. Ondanks de aanval benadrukte het team echter dat er geen bekende kwetsbaarheid was in de Pyth-oracle. Ze verklaarden:
“Hoewel de Pyth-oracle een cruciale rol speelde in de aanval, is er geen geïdentificeerde kwetsbaarheid in de Pyth-oracle; het gedroeg zich precies zoals verwacht.”
Oracle-aanvallen, georkestreerd door hackers die informatie manipuleren vanuit een externe gegevensbron, hebben tot doel slimme contracten of blockchain-protocollen te misleiden. Deze manipulatie kan leiden tot onjuiste of onbedoelde uitkomsten bij de uitvoering van slimme contracten, resulterend in financiële verliezen of ongeautoriseerde transacties.
Het Levana-team identificeerde verschillende markten die werden beïnvloed door zeven vermoedelijke kwaadwillende actoren. Het blijft onzeker of er extra accounts betrokken waren bij de exploit en of deze accounts onafhankelijk of samenwerkend handelden.
Het team schreef het beperkte verlies toe aan het eeuwigdurende swapmechanisme van Levana, dat robuuste garanties van protocol- en handelssolvabiliteit bevat. Ze legden uit dat ondanks de mogelijkheid van de aanvaller om oracle-prijsupdates on-chain te manipuleren, ze geen invloed konden uitoefenen op posities, winsten, potentiële winsten of vergrendelde delen van de liquiditeitspools van andere handelaren. De grootte van de positie van de aanvaller was ook beperkt vanwege de delta-neutraliteitslimieten van het protocol.
Levana werkt actief aan een oplossing die zal worden geïmplementeerd via een code-upgrade op de ketens waar Levana actief is – namelijk Osmosis, Sei en Injective.
Gebruikers zijn gerustgesteld dat bestaande handelsposities en winsten niet zijn beïnvloed door de exploit. Als voorzorgsmaatregel is echter tijdelijk het creëren van nieuwe posities en het wijzigen van bestaande opgeschort tot de geplande update volgende week.
Bovendien heeft Levana een plan opgesteld om getroffen liquiditeitsverschaffers te compenseren. Het bedrijf is van plan een airdrop uit te voeren en verzamelde protocolkosten uit de aanvalsperiode te verdelen onder de getroffenen.
