Por Ryan S. Gladwin
2 min lectura
Rodeo Finance, basado en Arbitrum, ha perdido $888.000 en un ataque reciente.
Se implementó un hackeo de "Force Investment", lo que permitió al atacante robar 472 Ethereum ($888,000). La billetera luego envió 150 ETH al mezclador Tornado Cash, dejando 371 ETH restantes en la billetera.
El explotador originalmente financió 50 ETH desde Tornado Cash para ejecutar el hackeo.
Arbitrum es una solución popular de escalado de capa 2 para la red Ethereum que utiliza la tecnología de roll-up optimista.
La firma de seguridad blockchain PeckShield, destacó por primera vez el ataque en Twitter con un enlace a la transacción de ataque comentando: "Hola, @Rodeo_Finance, es posible que desee echar un vistazo".
El atacante utilizó la función "Investor.earn()" para forzar un intercambio desde la piscina de USDC con intereses de Rodeo. Primero, el explotador tomó 290 Wrapped Ethereum (WETH) de la piscina, transfiriendo los activos a la red de Ethereum antes de utilizar la manipulación del oráculo para inflar el precio de su ETH al intercambiarlo por unshETH.
unshETH es un proyecto DeFi que tiene como objetivo promover la descentralización de los validadores mediante la creación de un mercado para la liquidez de ETH apostado en el que los validadores compiten para ofrecer el mejor rendimiento.
Cuando se realiza el intercambio anterior, el control de deslizamiento, es decir, la diferencia entre la orden de una operación y su ejecución, es inválido. Esto significa que la conversión de WETH a unshETH no reflejó un valor de mercado justo.
Luego, el atacante regresó a la red de Ethereum para robar otros 230 WETH de la bóveda de Rodeo.
Antes de regresar a la red de Ethereum, envió 150 ETH a Tornado Cash y dejó 371 ETH en la billetera.
En total, se tomaron 520 WETH de la bóveda de Rodeo, pero solo se contabilizan 472 WETH como pérdidas. Esto se debe a que el atacante financió la billetera con 50 ETH para ejecutar el exploit.
PeckShield originalmente informó esto como una pérdida de $1,5 millones, pero luego lo corrigió a una pérdida de $888.000 debido a un cálculo doble.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.