20,537 lecturas

Decodificando trucos de Oracle: comprensión de las vulnerabilidades y salvaguardas en los oráculos Blockchain

por Blockchain Oracle Summit4m2024/02/01

Demasiado Largo; Para Leer

Los ataques a Oracle ocurren cuando los atacantes explotan vulnerabilidades en el diseño o implementación de redes Oracle. En tal hack, el atacante generalmente manipula el oráculo para introducir datos incorrectos en un contrato de blockchain. Esto a menudo conduce a que los fondos se transfieran por error, generalmente a la cuenta del pirata informático. El núcleo de estos ataques radica en comprometer la integridad de los datos de los que dependen los contratos inteligentes.

featured image - Decodificando trucos de Oracle: comprensión de las vulnerabilidades y salvaguardas en los oráculos Blockchain

En la presentación a continuación, Sasa Milic, un investigador independiente, habló sobre los ataques a Oracle que se han producido en los últimos dos años y las diversas conclusiones que se pueden extraer de ellos.

A continuación se muestra un glosario de conceptos clave mencionados durante la charla de Sasa, que pretende ser un complemento de su presentación en video.

¿QUÉ ES UN ORÁCULO BLOCKCHAIN?

Los datos nativos de blockchain (por ejemplo, propiedad y transferencia de tokens) son validados por cada nodo de la red. Este proceso de validación hace que la red sea a prueba de manipulaciones (excepto en el caso de un 51% ataque ). Sin embargo, una consecuencia de esta resistencia a la manipulación es el acceso limitado a fuentes de datos externas, ya que dichos datos (y su transmisión) pueden ser fácilmente manipulados.

Para crear aplicaciones blockchain complejas (más allá de simples transferencias de tokens) es necesario acceder a datos externos. Por ejemplo, la mayoría de las aplicaciones de finanzas descentralizadas (DeFi) requieren datos de precios (por ejemplo, para obtener un precio de ejercicio o mantener una moneda estable vinculada a 1 USD). De hecho, los precios de los activos siguen siendo el tipo de datos más común generado y procesado por los oráculos de blockchain.

¿QUÉ SON LOS HACKS DE ORACLE?

Los ataques a Oracle ocurren cuando los atacantes explotan vulnerabilidades en el diseño o implementación de las redes de Oracle. En tal hack, el atacante generalmente manipula el oráculo para introducir datos incorrectos en un contrato de blockchain. Esto a menudo conduce a que los fondos se transfieran por error, generalmente a la cuenta del pirata informático. El núcleo de estos ataques radica en comprometer la integridad de los datos de los que dependen los contratos inteligentes, lo que provoca pérdidas financieras u otras interrupciones.

Al comienzo de su presentación, la oradora aclara que la mayoría de las pérdidas atribuidas a los hackeos de Oracle se deben en realidad a ataques de manipulación del mercado y no a un defecto en el diseño de Oracle. Sasa divide los hacks de Oracle en dos categorías importantes: errores estadísticos/de datos o errores de integración.

INTERVALOS DE CONFIANZA

Los intervalos de confianza se refieren a un rango de valores utilizados para estimar la cantidad real de un parámetro en particular. Estos valores van acompañados de un porcentaje, que normalmente oscila entre el 95% y el 99,9%, que representa el grado de confianza en ese intervalo.

Un ejemplo de intervalo de confianza es una estimación del precio de Bitcoin como [$29,504, $29,507] con un nivel de confianza del 99%, lo que significa que el editor tiene un 99% de confianza en que el precio de Bitcoin en ese momento caerá entre los valores dados.

Algunos protocolos de Oracle, como Pyth , exigen que los editores de precios proporcionen un informe de intervalo de confianza para generar transparencia y confianza.

MECANISMOS DE DETECCIÓN Y ELIMINACIÓN DE VALORES EXTREMOS

La detección de valores atípicos, también conocida como detección de anomalías, se refiere a las diversas técnicas y procesos utilizados para identificar y eliminar valores atípicos en los datos. Los valores atípicos se refieren a puntos de datos que se desvían significativamente del patrón de datos. Por ejemplo, si un oráculo proporciona datos de precios de $100, $101, $200, $99, $102, $10, etc., $200 y $10 deben marcarse como valores atípicos.

Los valores atípicos se identifican aplicando métodos estadísticos para eliminar puntos de datos que exceden los límites predefinidos. Los mecanismos de detección de valores atípicos son cruciales porque mejoran la integridad de los datos y reducen los sesgos, aunque el orador cuestiona su eficacia en el contexto de las redes Oracle.

FUNCIÓN DE AGREGACIÓN DE ORACLE

La función de agregación de Oracle se refiere a un algoritmo que desempeña un papel crucial en la mejora de la calidad de los datos de Oracle al combinar múltiples entradas de datos de diferentes oráculos en un único valor agregado.

Algunos de los algoritmos más populares utilizados son el valor de precio medio, el precio promedio ponderado por volumen (VWAP) y el precio promedio ponderado por tiempo (TWAP). Los dos últimos se están volviendo cada vez más populares porque son más resistentes a la manipulación. VWAP calcula un precio promedio en función del volumen de operaciones, donde las fuentes con mayor volumen de operaciones pesan más que otras, mientras que TWAP calcula un precio promedio en función de intervalos de tiempo.

Este artículo en el blog de Chainlink detalla las diferencias entre la agregación de precios TWAP y VWAP.

PERIODOS DE DISPUTA

Los períodos de disputa son períodos de tiempo específicos durante los cuales los participantes pueden cuestionar la validez o exactitud de los datos proporcionados por los oráculos. Es un paso natural después de la agregación de datos para resolver sospechas de errores técnicos, inconsistencias o manipulaciones.

Estas disputas eventualmente se resuelven mediante votación o un protocolo de arbitraje como Kleros . Eslabón de cadena 2.0 es un ejemplo de una red Oracle de dos niveles que tiene una segunda capa para la resolución de disputas.

LÍMITES DE CORDURA

Los límites de cordura, también conocidos como controles de cordura, son umbrales o límites predefinidos que se utilizan para validar los datos proporcionados por los oráculos antes de que se acepten para su agregación. Es un ejemplo de mecanismos de detección de valores atípicos utilizados por los protocolos.

Estos límites garantizan que los datos de precios se encuentren dentro de rangos razonables y esperados. Si los datos proporcionados por un oráculo se encuentran fuera de los límites de cordura, se consideran inválidos y no se incluyen en el proceso de agregación. Este artículo analiza el uso de límites de cordura como método de mitigación de la manipulación de oráculos de precios.

Conéctate con Sasa Millic:

LinkedIn
Gorjeo
Medio
YouTube

La Blockchain Oracle Summit es la única cumbre técnica del mundo que profundiza en los casos de uso, las limitaciones y los impactos de los oráculos en el ecosistema blockchain más amplio. Oradores líderes de todo el mundo se reunieron en París para compartir su trabajo y experiencia en la creación y el uso de soluciones Oracle. Artículo de Michael Abiodun .