Rodeo Finance poniosło 1,5 miliona dolarów szkód hakerskich
- Atakujący wypłacił 810 ETH
- Przekształcił aktywa kilka razy, aby zmylić ślad funduszy
- Zespół nie skomentował jeszcze ataku hakerów
Rodeo Finance — Protokół DeFi na Arbitrum został wykorzystany na łączną kwotę 1,53 miliona dolarów. Haker ukradł około 810 ETH za pomocą wyroczni. Firma PeckShield, zajmująca się bezpieczeństwem blockchain, poinformowała o ataku na swoim koncie na Twitterze:
«Nasza analiza wykazała, że RodeoFinance zostało zhakowane, ze stratą około 1,53 miliona dolarów. Procedura Investor.earn() ma pewną lukę, którą można naprawić poprzez wymianę $USDC -> $WETH -> $unshETH. Jednak ze względu na niepoprawność wyroczni cenowej $unshETH nie było możliwe kontrolowanie strat zgodnie z oczekiwaniami»
Analiza wykazała, że atakujący przeniósł skradzione zyski z sieci Arbitrum do Ethereum. Następnie wymienił skradzione tokeny na różne inne aktywa, a następnie przekonwertował je z powrotem na eter. Na ostatnim etapie exploita, ETH zostało przepuszczone przez popularny mikser Tornado Cash, co pozwoliło na zmylenie śladów środków.
Igor Igamberdiev, szef działu badań w Wintermute, opisał atak jako «manipulację wyrocznią TWAP». W branży DeFi koncepcja TWAP (Time-Weighted Average Price) jest wykorzystywana jako wyrocznia do obliczania średniej ceny aktywów w określonym czasie. Metoda ta jest często stosowana w celu złagodzenia wpływu krótkoterminowych skoków cen aktywów.
Wczoraj, 10 lipca, protokół Arcadia Finance został zhakowany z powodu «braku weryfikacji niewiarygodnych danych wejściowych». Kwota strat wyniosła 455 tysięcy dolarów.
