Протокол децентрализованного финансирования (DeFi) на основе арбитража Rodeo Finance был добыт на 1,53 миллиона долларов 11 июля. Протокол DeFi был взломан с использованием уязвимости кода в его Oracle, что привело к потере более 810 эфиров (ETH).
Согласно данным, предоставленным аналитической фирмой PeckShield, эксплойт перевел украденные средства из Arbitrum в Ethereum и обменял 285 ETH на unshETH. Затем майнер вложил ETH в стейкинг Eth2. Наконец, злоумышленник перенаправил украденный ETH с помощью популярного сервиса микширования Tornado Cash, который злоумышленники часто используют в качестве маршрута выхода, чтобы скрыть отпечаток транзакции.
Эксплуататор использовал манипуляцию средней ценой, взвешенной по времени, которая используется протоколами DeFi для расчета средней цены актива за определенный период времени и сглаживания колебаний цен из-за волатильности рынка.
Тем не менее, это дает возможность эксплуататорам манипулировать этими оракулами, искусственно искажая рассчитанную среднюю цену актива. Это позволяет им одержать верх и использовать протокол во время транзакции.
Эксплуататор сначала занимает крупную сумму актива, а затем искусственно манипулирует ценой, чтобы купить тот же актив по заниженной цене. Позже эксплуататор погашает кредит и получает прибыль на основе низкой цены, управляемой манипуляциями.
Адрес кошелька злоумышленника по-прежнему содержит более 374 ETH, и Etherscan марка адрес, связанный с эксплойтом Rodeo. Общая заблокированная стоимость протокола DeFi (TVL) составила 20 миллионов долларов, а после эксплойта упала ниже 500 долларов.
Эксплойт также привел к резкому падению цены собственного токена протокола DeFi, упав более чем на 53% за последние 24 часа.
Только в 2023 году был зарегистрирован 21 случай использования той или иной формы эксплойта в сети Arbitrum, в результате чего общий ущерб составил более 20 миллионов долларов. Последний эксплойт на сумму 1,53 миллиона долларов делает его пятым по величине, зарегистрированным на Aribitrum в 2023 году. Rodeo Finance также был взломан 5 июля примерно на 89 000 долларов из-за уязвимости в их функции mintProtocolReserves.