Rodeo Finance z siedzibą w Arbitrum straciło 888 000 USD w wyniku niedawnego ataku.
Wdrożono hack „ForceInvestment”, który pozwolił atakującemu ukraść 472 Ethereum (888 000 USD). Portfel wysłał później 150 ETH do miksera Tornado Cash, pozostawiając 371 ETH w portfelu.
Eksplorator pierwotnie sfinansował 50 ETH z Tornado Cash, aby wykonać hack.
Arbitrum to popularne rozwiązanie skalowania warstwy 2 dla sieci Ethereum, które wykorzystuje optymistyczną technologię roll-up.
Firma PeckShield, zajmująca się bezpieczeństwem blockchain, po raz pierwszy podkreśliła atak na Twitterze, podając link do transakcji ataku, komentując: „Cześć, @Rodeo_Finance, możesz chcieć rzucić okiem.”
Hi, @Rodeo_Finance możesz chcieć rzucić okiem: https://t.co/ExSpR3qzqj
– PeckShield Inc (@peckshield) July 11, 2023
Atakujący użył funkcji „Investor.earn()”, aby wymusić swap z oprocentowanej puli USDC Rodeo. Najpierw exploiter pobrał 290 Wrapped Ethereum (WETH) z puli, łącząc aktywa z siecią Ethereum, zanim użył manipulacji wyroczni, aby zawyżyć cenę swojego ETH, zamieniając go na unshETH.
unshETH to projekt DeFi mający na celu promowanie decentralizacji walidatorów poprzez stworzenie rynku dla płynności ETH, w którym walidatory konkurują o zaoferowanie najlepszego zysku.
Gdy powyższa zamiana jest wykonywana, kontrola poślizgu – różnica między zleceniem handlowym a jego wykonaniem – jest nieważna. Oznaczało to, że konwersja WETH na unshETH nie odzwierciedlała uczciwej wartości rynkowej.
Atakujący następnie połączył się z powrotem do sieci Ethereum, aby ukraść kolejne 230 WETH ze skarbca Rodeo.
Przed powrotem do sieci Ethereum, wysyłając 150 ETH do Tornado Cash i pozostawiając 371 ETH w portfelu.
Łącznie 520 WETH zostało pobranych ze skarbca Rodeo, ale tylko 472 WETH jest liczone jako straty. Wynika to z faktu, że atakujący zasilił portfel 50 ETH w celu wykonania exploita.
PeckShield pierwotnie zgłosił to jako stratę w wysokości 1,5 miliona dolarów, ale później skorygował ją do 888 000 dolarów z powodu podwójnych obliczeń.
