11 июля протокол децентрализованного финансирования (DeFi) на основе Arbitrum Rodeo Finance был взломан на 1,53 миллиона долларов. Протокол DeFi был использован с использованием уязвимости кода в его Oracle, что привело к потере более 810 Ether (ETH).
Согласно данным, предоставленным аналитической фирмой PeckShield, злоумышленник позже перевел украденные средства из Arbitrum в Ethereum и обменял 285 ETH на unshETH. Затем эксплуататор разместил ETH на стейкинге Eth2. Наконец, эксплуататор направил украденный ETH с помощью популярного сервиса микширования Tornado Cash, который злоумышленники часто используют в качестве маршрута выхода, чтобы скрыть след транзакции.
Движение средств от Rodeo эксплуататора. Источник: PeckShield
Эксплуататор использовал манипуляцию оракулом средней цены, взвешенной по времени, которая используется протоколами DeFi для расчета средней цены актива за определенный период времени и смягчения колебаний цены из-за волатильности рынка.
Тем не менее, он предоставляет злоумышленникам уязвимость, позволяющую манипулировать этими оракулами, искусственно искажая расчетную среднюю цену актива. Это позволяет им одержать верх и использовать протокол во время транзакции.
Эксплуататор сначала занимает крупную сумму актива, а затем искусственно манипулирует ценой, чтобы купить тот же актив по заниженной цене. Позже эксплуататор возвращает кредит и получает прибыль на основе низкой цены, управляемой манипуляциями.
Связанный: крипто-мошенничество будет расти с появлением ИИ
Адрес кошелька эксплуататора по-прежнему содержит более 374 ETH, и Etherscan пометил этот адрес как связанный с эксплойтом Rodeo. Общая заблокированная стоимость протокола DeFi (TVL) составила 20 миллионов долларов, а после эксплойта упала ниже 500 долларов.
Пост-эксплойт Rodeo Finance TVL. Источник: Дефиллама
Эксплойт также обрушил цену собственного токена протокола DeFi, упав более чем на 53% за последние 24 часа.
Цена токена Rodeo Finance упала после эксплойта. Источник: CoinGecko
Только в 2023 году был зарегистрирован 21 случай использования той или иной формы эксплойта в сети Arbitrum Network, в результате чего общий ущерб составил более 20 миллионов долларов. Последний эксплойт на сумму 1,53 миллиона долларов делает его пятым по величине, зарегистрированным на Aribitrum в 2023 году. Rodeo Finance также был взломан 5 июля примерно на 89 000 долларов из-за уязвимости в их функции mintProtocolReserves.
Соберите эту статью как NFT, чтобы сохранить этот момент в истории и показать свою поддержку независимой журналистики в криптопространстве.
Журнал: Стоит ли детям «апельсиновую таблетку»? Случай с детскими книгами о биткойнах
Источник: Сointеlеgrаph
