Компания Rodeo Finance пострадала от взлома на $1,5 млн

• Злоумышленник вывел 810 ETH
• Он конвертировал активы несколько раз, чтобы запутать след средств
• Команда пока никак не прокомментировала хакерскую атаку

Rodeo Finance — DeFi-протокол на Arbitrum подвергся эксплойту на общую сумму $1,53 млн. Хакер похитил примерно 810 ETH, используя оракула. Компания блокчейн-безопасности PeckShield сообщила об атаке в своем Twitter:

«Наш анализ выявил, что RodeoFinance был взломан, а убытки составили примерно $1,53 млн. Этот инцидент известен как “ForceInvestment”. Процедура Investor.earn() имеет определенную уязвимость, которую можно было бы исправить через обмен $USDC -> $WETH -> $unshETH. Однако, из-за некорректности ценового оракула $unshETH, не удалось осуществить контроль над убытками, как ожидалось»

Проведенный анализ показал, что злоумышленник осуществил перевод похищенной прибыли из сети Arbitrum в Ethereum. Далее он обменивал похищенные токены на различные другие активы, а затем конвертировал их обратно в эфир. На завершающем этапе эксплойта ETH прошел через популярный микшер Tornado Cash, что позволяло запутать следы движения средств.

Игорь Игамбердиев, руководитель отдела исследований компании Wintermute, описал атаку как «манипуляцию с оракулом TWAP». В сфере DeFi понятие TWAP (Time-Weighted Average Price) используется как оракул для вычисления средней цены актива в течение определенного периода времени. Этот метод часто применяется для сглаживания влияния кратковременных скачков в ценах активов.

Вчера, 10 июля, протокол Arcadia Finance был взломан из-за «отсутствия проверки недоверчивого ввода». Сумма убытков составила $455 тысяч.