Comparte este artículo
Rodeo Finance, un protocolo DeFi que reside en la cadena de bloques de Arbitrum, sufrió su segundo exploit importante el 11 de julio, lo que resultó en una pérdida de 472 ETH, lo que equivale a aproximadamente $ 888,000 millones. El exploit fue orquestado a través de una vulnerabilidad de código dentro de Oracle de Rodeo.
El explotador transfirió los fondos robados de Arbitrum a Ethereum y luego intercambió 285 ETH por unshETH, según los datos compartidos por PeckShield, una firma de análisis de blockchain. Después del intercambio, el explotador depositó ETH en el staking de Eth2 antes de enviar 150 ETH a Tornado Cash, un servicio de mezcla que se usa con frecuencia para ofuscar el rastro de la transacción.
PeckShield luego confirmó que la cantidad era de 472 ETH, lo que equivale a $ 888,000, lo que confirma un nuevo cálculo:
Corrección: la pérdida total con 472 $ETH (~$888K)
El explotador intercambió 285 $ETH por $unshETH y los conectó de vuelta a #arbitro para continuar el hackhttps://t.co/wmlQ7pJlKV— PeckShieldAlert (@PeckShieldAlert) 11 de julio de 2023
El exploit se realizó utilizando una estrategia que involucra la manipulación del oráculo del precio promedio ponderado en el tiempo (TWAP), una herramienta utilizada por los protocolos DeFi para promediar el precio de un activo durante un período determinado, reduciendo así el riesgo de volatilidad del mercado. Este método, sin embargo, ha sido identificado como una vulnerabilidad potencial.
El explotador comenzó tomando prestada una cantidad sustancial de un activo, después de lo cual manipuló el precio a la baja, lo que le permitió comprar el mismo activo a un precio significativamente reducido. Esto permitió al explotador pagar el préstamo y obtener una ganancia del precio más bajo que lograron establecer a través de sus manipulaciones.
Esta última brecha ha tenido un impacto profundo en Rodeo Finance, causando que el valor total bloqueado (TVL) caiga en picada de $20 millones a menos de $500.
La dirección de la billetera vinculada al exploit todavía está en posesión de más de 370 ETH y ha sido marcado por Etherscan como conectado al exploit Rodeo.
HypernativeLabs en Twitter detectó un hackeo similar en Rodeo Finance la semana pasada el 5 de julio, perdiendo alrededor de $50,000:
Nuestra plataforma detectó un hack contra @rodeo_finanzas en Arbitrum. El ataque abarcó múltiples transacciones en el transcurso de ~1 hora. Contamos ~50K USD en pérdidas.
contrato de ataque: https://t.co/TvQKEldQeX
tx de muestra:https://t.co/jiCtGt2EzWhttps://t.co/IGQYKVdZke— HypernativeLabs (@HypernativeLabs) 5 de julio de 2023