Arbitrážní společnost Rodeo Finance přišla při nedávném útoku o 888 000 dolarů.
Byl nasazen hack „ForceInvestment“, který útočníkovi umožnil ukrást 472 Ethereum (888 000 dolarů). Ten později poslal 150 ETH do mixéru Tornado Cash, takže v peněžence zůstalo 371 ETH.
Útočník původně financoval 50 ETH z Tornado Cash, aby mohl provést hack
Arbitrum je populární řešení škálování na 2. vrstvě sítě Ethereum, které využívá technologii optimistického rolování.
Firma PeckShield, která se zabývá bezpečností blockchainu, na útok poprvé upozornila na Twitteru odkazem na útočnou transakci s komentářem: „Ahoj, @Rodeo_Finance, možná se budeš chtít podívat.“
Ahoj, @Rodeo_Finance možná se budete chtít podívat: https://t.co/ExSpR3qzqj
– PeckShield Inc. (@peckshield) July 11, 2023
Útočník použil funkci „Investor.earn()“ k vynucení výměny z úročeného fondu USDC společnosti Rodeo. Útočník nejprve vzal z poolu 290 Wrapped Ethereum (WETH), přemostil aktiva do sítě Ethereum a poté pomocí manipulace s orákulem nafoukl cenu svého ETH výměnou za unshETH.
UnshETH je projekt DeFi, jehož cílem je podpořit decentralizaci validátorů vytvořením trhu s likviditou staked ETH, na kterém validátoři soutěží o nejlepší výnos.
Při výše uvedeném swapu je kontrola slippage – rozdíl mezi příkazem k obchodu a jeho provedením – neplatná. To znamená, že konverze WETH na unshETH neodrážela spravedlivou tržní hodnotu.
Útočník se poté přemostil zpět do sítě Ethereum, aby z trezoru Rodeo ukradl dalších 230 WETH.
Předtím, než se přemostil zpět do sítě Ethereum, poslal 150 ETH do Tornado Cash a v peněžence nechal 371 ETH.
Celkem bylo z trezoru Rodeo ukořistěno 520 WETH, ale pouze 472 WETH je započítáno jako ztráta. To je způsobeno tím, že útočník financoval peněženku 50 ETH, aby mohl exploit provést.
PeckShield to původně hlásil jako ztrátu 1,5 milionu dolarů, ale později to opravil na ztrátu 888 000 dolarů kvůli dvojímu výpočtu.
