La manipulation d'Oracle, ou manipulation des prix d'Oracle, est un exploit le plus courant dans l'espace DeFi où un contrat intelligent d'Oracle est manipulé par des attaquants, ce qui entraîne une panne du système, un vol et d'autres dommages. Les réseaux DeFi auraient perdu plus de 33 millions de dollars en raison de la manipulation de l’oracle des prix rien qu’en 2020.

Les oracles sont des fournisseurs de services tiers qui fournissent aux blockchains des données externes ou réelles telles que des flux de prix, des informations météorologiques, des statistiques, etc. Les flux de prix sont de loin les données oracle les plus exploitées car ils permettent aux attaquants de voler des millions de fonds à DeFi. plates-formes.

Généralement, il existe deux manières pour un oracle de recueillir des informations sur les prix. La première consiste à siphonner de manière transparente les données de prix des échanges centralisés via des API. D'autre part, les oracles peuvent également effectuer eux-mêmes les calculs en consultant les échanges décentralisés (DEX). Les deux méthodes ont leurs propres avantages et inconvénients, ainsi que leurs propres façons de les manipuler.

Dans le piratage de Harvest Finance, le coupable a pu pénétrer dans ses pools grâce à un prêt flash en utilisant une forme de manipulation oracle. Fondamentalement, le pirate informatique a réduit la valeur de l'USDC au sein du pool Curve via une transaction. Ensuite, l'auteur est entré dans le pool Harvest au prix dégonflé, a ramené l'USDC à son prix initial en annulant sa transaction, puis a quitté le pool à un prix beaucoup plus élevé.