Протокол децентрализованных финансов (DeFi) Rodeo Finance, основанный на технологии Arbitrum, 11 июля был использован для получения 1,53 млн. долл. Протокол DeFi был взломан с использованием уязвимости в коде Oracle, что привело к потере более 810 эфиров (ETH).

Согласно данным, предоставленным компанией PeckShield, занимающейся анализом блокчейн-технологий, впоследствии злоумышленник перевел похищенные средства с Arbitrum на Ethereum и обменял 285 ETH на unshETH. Затем он разместил эти ETH на ставке Eth2. Наконец, он перевел украденные ETH с помощью популярного микшерного сервиса Tornado Cash, который эксплуататоры часто используют в качестве пути отхода, чтобы скрыть следы транзакции.

Движение средств от Rodeo exploiter. Источник: PeckShield
Движение средств от Rodeo exploiter. Источник: PeckShield

Эксплорер использовал манипуляции с оракулом средневзвешенной цены, который применяется в протоколах DeFi для расчета средней цены актива за определенный промежуток времени и смягчения колебаний цены, связанных с волатильностью рынка.

Однако это открывает уязвимость для злоумышленников, которые могут манипулировать этими оракулами, искусственно искажая расчетную среднюю цену актива. Это позволяет им получить преимущество и использовать протокол в ходе транзакции.

Эксплуататор сначала заимствует большую сумму актива, а затем искусственно манипулирует ценой, чтобы купить этот же актив по заниженной цене. В дальнейшем эксплуататор возвращает заем и получает прибыль, основанную на низкой цене, достигнутой в результате манипуляций.

На адресе кошелька эксплойтера по-прежнему хранится более 374 ETH, и компания Etherscan отметила этот адрес как связанный с эксплойтом Rodeo. Общая сумма заблокированной стоимости (TVL) в протоколе DeFi составляла 20 млн. долларов, а после эксплойта она упала ниже 500 долларов.

Rodeo Finance TVL post exploit. Источник: DefiLlama
Rodeo Finance TVL post exploit. Источник: DefiLlama

Эксплойт также привел к падению цены собственного токена протокола DeFi, которая за последние 24 часа упала более чем на 53%.

Цена токенов Rodeo Finance упала после эксплуатации. Источник: CoinGecko
Цена токенов Rodeo Finance упала после эксплуатации. Источник: CoinGecko

Только в 2023 году в сети Arbitrum был зафиксирован 21 случай использования той или иной формы эксплойтов, совокупный ущерб от которых составил более 20 млн. долл. Последний случай эксплойта на сумму 1,53 млн. долл. стал пятым по величине, зафиксированным в сети Aribitrum в 2023 году. В результате уязвимости в функции mintProtocolReserves компании Rodeo Finance 5 июля было потеряно около 89 тыс. долл.

Соберите эту статью в качестве NFT, чтобы сохранить этот момент истории и продемонстрировать свою поддержку независимой журналистике в криптопространстве.

Журнал: Стоит ли давать детям "оранжевые таблетки"? Доводы в пользу детских книг на основе биткойна

Источник