" 11 июля протокол децентрализованного финансирования (DeFi) на основе Arbitrum Rodeo Finance был взломан на 1,53 миллиона долларов. Протокол DeFi был атакован с использованием уязвимости кода в его оракуле, что привело к потере более 810 Ether (ETH).
Согласно данным, предоставленным аналитической фирмой PeckShield, злоумышленник позже перевел украденные средства из Arbitrum (ARB) в Ethereum и обменял 285 ETH на unshETH. Затем эксплуататор разместил ETH на стейкинге Eth2. Наконец, эксплуататор направил украденный ETH с помощью популярного сервиса микширования Tornado Cash, который злоумышленники часто используют в качестве маршрута для вывода, чтобы запутать следы транзакций и скрыть дальнейшее перемещение средств.
Движение средств от взлома Rodeo. Источник: PeckShield
Эксплойтер использовал манипуляцию оракулом средней цены, взвешенной по времени, которая используется протоколами DeFi для расчета средней цены актива за определенный период времени и смягчения колебаний цены из-за волатильности рынка.
Тем не менее, он предоставляет злоумышленникам уязвимость, позволяющую манипулировать этими оракулами, искусственно искажая расчетную среднюю цену актива. Это позволяет им получать необоснованную выгоду во время транзакции.
Эксплойтер сначала занимает крупную сумму актива, а затем искусственно манипулирует ценой, чтобы купить тот же актив по заниженной цене. Позже он возвращает кредит и получает прибыль на основе низкой цены, управляемой манипуляциями.
Адрес кошелька хакера по-прежнему содержит более 374 ETH, и Etherscan пометил этот адрес как связанный с эксплойтом Rodeo. Общая заблокированная стоимость протокола DeFi (TVL) составляла 2 миллиона долларов, а после эксплойта упала ниже 500 долларов.
TVL Rodeo Finance после эксплоита. Источник: DefiLlama.
Эксплойт также обрушил цену собственного токена протокола DeFi, упав более чем на 53% за последние 24 часа.
Цена токена Rodeo Finance упала после эксплойта. Источник: CoinGecko
Только в 2023 году был зарегистрирован 21 случай проведения той или иной формы эксплойта в сети Arbitrum Network, в результате чего общий ущерб составил более 20 миллионов долларов. Последний эксплойт на сумму 1,53 миллиона долларов делает его пятым по величине, зарегистрированным на Aribitrum в 2023 году. Rodeo Finance также был взломан 5 июля примерно на 89 000 долларов из-за уязвимости в его функции mintProtocolReserves.
