Rodeo Finance, по-видимому, стал жертвой атаки манипулирования оракулом во вторник, когда преступник скрылся с примерно 810 эфирами (1,5 миллиона долларов) в сети Arbitrum, что является последним из серии эксплойтов децентрализованных финансов (DeFi).
Фирма по безопасности блокчейна PeckShield, которая первоначально обнаружила инцидент, провела дальнейший анализ данных в сети. Его анализ указывает на то, что злоумышленник перевел полученные нечестным путем доходы с Arbitrum на Ethereum. Затем они обменяли украденные токены на различные другие активы, прежде чем конвертировать их обратно в эфир. На заключительном этапе эксплойта эфир перенаправлялся через Tornado Cash, популярный миксер транзакций в сети Ethereum, что эффективно запутывало следы средств.
Команда Rodeo Finance еще не опубликовала ответ или заявление по поводу инцидента.
Игорь Игамбердиев, глава исследовательского отдела Wintermute, назвал атаку The Block «манипуляцией с оракулом TWAP». В сфере DeFi TWAP или средняя цена, взвешенная по времени, служит оракулом для расчета средней цены актива за определенный период времени. Этот метод обычно используется для смягчения последствий кратковременных скачков ценовой волатильности.
Хакеры DeFi манипулируют оракулами TWAP, искусственно искажая рассчитанную среднюю цену актива, чтобы получить неправомерное преимущество во время транзакции. Подобные манипуляции открывают путь для нескольких форм атак, одной из которых является использование эксплойтов с использованием флэш-кредитов. В таком эксплойте злоумышленник занимает огромную сумму определенного актива, обесценивает его с помощью манипуляций с оракулом TWAP, а затем приобретает больше того же самого по искусственно заниженной цене. При погашении кредита злоумышленник сохраняет излишек, тем самым извлекая выгоду из сложной схемы манипулирования.
Сложные маневры, подобные этим, за последние несколько лет стали инструментами для хакеров, которые манипулируют потоками данных о ценах оракула для выполнения эксплойтов, как это видно в случае с Rodeo Finance. Эксплойт Rodeo — это не изолированное явление, а часть тенденции, которая преследует экосистему Arbitrum в течение последних нескольких месяцев.
В апреле Sentiment, еще один протокол DeFi, работающий на Arbitrum, потерял 1 миллион долларов из-за хакера. За этим последовало еще более серьезное нарушение безопасности в мае, когда протокол Jimbos был лишен ошеломляющих 7,5 миллионов долларов.
Инцидент с «ФорсИнвестмент»
В беседе с The Block PeckShield рассказал об особенностях атаки. Согласно их анализу, взлом Rodeo Finance называется взломом «ForceInvestment».
Фирма объясняет, что в процедуре Rodeo Finance «Investor.earn()», предназначенной для обмена USDC на обернутый эфир (WETH), а затем на другой ликвидный токен для ставок под названием unshETH, существует серьезная ошибка. Ожидаемый контроль проскальзывания, предназначенный для предотвращения чрезмерного отклонения цены во время транзакции, не работал должным образом из-за ошибочного ценового оракула unshETH.
Рассматриваемый оракул, основанный на методологии взвешенной по времени средней цены (TWAP), рассчитал свои ценовые данные, используя резерв пары WETH/unshETH. Из-за низкой ликвидности этих резервов цена unshETH претерпевала значительные колебания.
Еще больше усугубило ситуацию значительное расхождение между заявленной оракулом ценой unshETH и ее ожидаемым значением. Оракул указал цену unshETH на уровне 4219 долларов, тогда как его типичный курс по сравнению с WETH должен был составлять около 1880 долларов. Это несоответствие облегчило хакеру возможность манипулировать сделками, извлекая выгоду из системной лазейки, в то время как средства контроля проскальзывания протокола не вмешивались.
© 2023 The Block Crypto, Inc. Все права защищены. Эта статья предоставлена исключительно для информационных целей. Он не предлагается и не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или иного совета.
