Компанія Rodeo Finance постраждала від злому на $1,5 млн

• Зловмисник вивів 810 ETH
• Він конвертував активи кілька разів, щоб заплутати слід коштів
• Команда поки ніяк не прокоментувала хакерську атаку

Rodeo Finance — DeFi-протокол на Arbitrum зазнав експлойту на загальну суму $1,53 млн. Хакер викрав приблизно 810 ETH, використовуючи оракула. Компанія блокчейн-безпеки PeckShield повідомила про атаку у своєму Twitter:

«Наш аналіз виявив, що RodeoFinance було зламано, а збитки склали приблизно $1,53 млн. Цей інцидент відомий як “ForceInvestment”. Процедура Investor.earn() має певну вразливість, яку можна було б виправити через обмін $USDC -> $WETH -> $unshETH. Однак, через некоректність цінового оракула $unshETH, не вдалося здійснити контроль над збитками, як очікувалося»

Проведений аналіз показав, що зловмисник здійснив переказ викраденого прибутку з мережі Arbitrum в Ethereum. Далі він обмінював викрадені токени на різні інші активи, а потім конвертував їх назад в ефір. На завершальному етапі експлойту ETH пройшов через популярний мікшер Tornado Cash, що давало змогу заплутати сліди руху коштів.

Ігор Ігамбердієв, керівник відділу досліджень компанії Wintermute, описав атаку як «маніпуляцію з оракулом TWAP». У сфері DeFi поняття TWAP (Time-Weighted Average Price) використовується як оракул для обчислення середньої ціни активу протягом певного періоду часу. Цей метод часто застосовується для згладжування впливу короткочасних стрибків у цінах активів.

Учора, 10 липня, протокол Arcadia Finance було зламано через «відсутність перевірки недовірливого введення». Сума збитків склала $455 тисяч.