Oracle-Manipulation oder Oracle-Preismanipulation ist ein im DeFi-Bereich am häufigsten vorkommender Exploit, bei dem ein Oracle-Smart-Vertrag von Angreifern manipuliert wird, was zu Systemausfällen, Diebstahl und anderen Schäden führt. Berichten zufolge haben DeFi-Netzwerke allein im Jahr 2020 durch Preisorakelmanipulation über 33 Millionen US-Dollar verloren.

Oracles sind Drittanbieter, die Blockchains mit externen oder realen Daten wie Preis-Feeds, Wetterinformationen, Statistiken usw. versorgen. Preis-Feeds sind bei weitem die am häufigsten ausgenutzten Oracle-Daten, da sie es Angreifern ermöglichen, Millionen von Geldern aus DeFi zu stehlen Plattformen.

Im Allgemeinen gibt es zwei Möglichkeiten, wie ein Orakel Preisinformationen sammeln kann. Eine Möglichkeit besteht darin, Preisdaten von zentralisierten Börsen über APIs nahtlos abzuleiten. Andererseits können Orakel die Berechnungen auch selbst durchführen, indem sie dezentrale Börsen (DEXs) konsultieren. Beide Methoden haben ihre eigenen Vor- und Nachteile sowie Manipulationsmöglichkeiten.

Beim Harvest Finance-Hack gelang es dem Täter, mithilfe einer Form der Orakelmanipulation durch einen Schnellkredit in seine Pools einzudringen. Im Grunde hat der Hacker durch einen Handel den Wert von USDC innerhalb des Curve-Pools reduziert. Dann stieg der Täter zum deflationierten Preis in den Harvest-Pool ein, brachte USDC durch die Umkehrung seines Handels auf seinen ursprünglichen Preis zurück und verließ den Pool dann zu einem viel höheren Preis.