Manipulação de Oráculos de Preços (Price Oracle Manipulation)

É um risco comum em contratos inteligentes que dependem de oráculos externos para obter dados de preços, como os de criptomoedas ou ativos do mundo real. Essa vulnerabilidade ocorre quando um invasor manipula os dados fornecidos pelo oráculo para influenciar o comportamento do contrato inteligente, resultando em perdas financeiras ou comportamentos inesperados.

Exemplo: Suponha que um contrato inteligente de empréstimos descentralizados (DeFi) utilize um oráculo para determinar o preço de um token específico (por exemplo, um token X) a fim de calcular o colateral necessário para um empréstimo. Se um invasor conseguir manipular o preço do token X fornecido pelo oráculo, ele pode inflar artificialmente o preço de X no oráculo.

Com o preço inflado, o invasor poderia tomar emprestada uma grande quantidade de outro ativo (por exemplo, ETH) utilizando uma quantidade relativamente pequena de X como garantia. Posteriormente, o atacante poderia manipular novamente o preço para baixo e liquidar a posição a um valor muito menor, causando prejuízos ao protocolo e aos demais usuários.

Mitigação:

Uso de Oráculos Descentralizados: Em vez de depender de um oráculo centralizado, utilizar oráculos descentralizados que coletam dados de várias fontes confiáveis. Isso dificulta a manipulação, pois o invasor precisaria comprometer múltiplas fontes independentes.
Média de Preços de Múltiplas Fontes: O contrato inteligente pode calcular a média dos preços provenientes de diferentes fontes para reduzir o impacto de uma única fonte manipulada.
Implementação de TWAP (Time-Weighted Average Price): Utilizar um preço médio ponderado pelo tempo em vez de um preço instantâneo. Isso reduz a eficácia de manipulações de curto prazo ao suavizar variações abruptas.
Verificações de Coerência: Implementar mecanismos que validem se os preços recebidos estão dentro de um intervalo aceitável, com base em históricos ou mercados alternativos. Preços fora do padrão podem ser rejeitados ou verificados com outras fontes.
Auditorias e Testes Rigorosos: Auditar e testar os contratos inteligentes de forma abrangente para identificar vetores de ataque relacionados a oráculos. Os testes devem simular cenários de manipulação para garantir que o contrato reaja adequadamente a situações adversas.

PreviousAtaque de repetição (Replay attack)NextFalta de Controle de Acesso (Missing Access Control)

Last updated 25 days ago

Was this helpful?

Manipulação de Oráculos de Preços (Price Oracle Manipulation)

Mitigação:

Uso de Oráculos Descentralizados: Em vez de depender de um oráculo centralizado, utilizar oráculos descentralizados que coletam dados de várias fontes confiáveis. Isso dificulta a manipulação, pois o invasor precisaria comprometer múltiplas fontes independentes.
Média de Preços de Múltiplas Fontes: O contrato inteligente pode calcular a média dos preços provenientes de diferentes fontes para reduzir o impacto de uma única fonte manipulada.
Implementação de TWAP (Time-Weighted Average Price): Utilizar um preço médio ponderado pelo tempo em vez de um preço instantâneo. Isso reduz a eficácia de manipulações de curto prazo ao suavizar variações abruptas.
Verificações de Coerência: Implementar mecanismos que validem se os preços recebidos estão dentro de um intervalo aceitável, com base em históricos ou mercados alternativos. Preços fora do padrão podem ser rejeitados ou verificados com outras fontes.
Auditorias e Testes Rigorosos: Auditar e testar os contratos inteligentes de forma abrangente para identificar vetores de ataque relacionados a oráculos. Os testes devem simular cenários de manipulação para garantir que o contrato reaja adequadamente a situações adversas.

PreviousAtaque de repetição (Replay attack)NextFalta de Controle de Acesso (Missing Access Control)

Last updated 25 days ago

Was this helpful?