Rodeo Finance, протокол DeFi на Arbitrum, по-видимому, стал жертвой атаки манипуляции оракулом во вторник, когда преступник унес около 472 эфиров (888 000 долларов США), что является последним из серии недавних крипто-эксплойтов.
Фирма по безопасности блокчейна PeckShield, которая первоначально обнаружила инцидент, провела дальнейший анализ данных в сети. Его анализ указывает на то, что злоумышленник перевел полученные нечестным путем доходы с Arbitrum на Ethereum. Затем они обменяли украденные токены на различные другие активы, прежде чем конвертировать их обратно в эфир. На заключительном этапе эксплойта эфир был направлен через Tornado Cash, популярный миксер транзакций в сети Ethereum, что эффективно запутало следы средств.
Команда Rodeo Finance еще не опубликовала ответ или заявление по поводу инцидента.
Игорь Игамбердиев, глава исследовательского отдела Wintermute, заявил The Block, что атака была «манипуляцией с оракулом TWAP». В сфере DeFi TWAP или средняя цена, взвешенная по времени, служит оракулом для расчета средней цены актива за определенный период времени. Этот метод обычно используется для смягчения последствий кратковременных скачков ценовой волатильности.
Хакеры DeFi манипулируют оракулами TWAP, искусственно искажая рассчитанную среднюю цену актива, чтобы получить неправомерное преимущество во время транзакции. Подобные манипуляции открывают путь для нескольких форм атак, одной из которых является использование эксплойтов с использованием флэш-кредитов. В таком эксплойте злоумышленник занимает огромную сумму определенного актива, обесценивает его с помощью манипуляций с оракулом TWAP, а затем приобретает больше того же самого по искусственно заниженной цене. При погашении кредита злоумышленник сохраняет излишек, тем самым извлекая выгоду из сложной схемы манипулирования.
Сложные маневры, подобные этим, за последние несколько лет стали инструментами для хакеров, которые манипулируют потоками данных о ценах оракула для выполнения эксплойтов, как это видно в случае с Rodeo Finance. Эксплойт Rodeo — это не изолированное явление, а часть тенденции, которая преследует экосистему Arbitrum в течение последних нескольких месяцев.
В апреле Sentiment, еще один протокол DeFi, работающий на Arbitrum, потерял 1 миллион долларов из-за хакера. За этим последовало еще более серьезное нарушение безопасности в мае, когда протокол Jimbos был лишен ошеломляющих 7,5 миллионов долларов.
Инцидент с «ForceInvestment»
В беседе с The Block PeckShield рассказал об особенностях атаки. Согласно его анализу, взлом Rodeo Finance называется взломом «ForceInvestment».
Фирма заявила, что в процедуре Rodeo Finance «Investor.earn», предназначенной для обмена USDC на обернутый эфир (WETH), а затем на другой ликвидный токен для ставок под названием unshETH, был критический недостаток. Ожидаемый контроль проскальзывания, предназначенный для предотвращения чрезмерного отклонения цены во время транзакции, не работал должным образом из-за ошибочного ценового оракула unshETH.
Рассматриваемый оракул, основанный на методологии взвешенной по времени средней цены (TWAP), рассчитал свои ценовые данные, используя резерв пары WETH/unshETH. Из-за низкой ликвидности этих резервов цена unshETH претерпевала значительные колебания.
Еще больше усугубило ситуацию значительное расхождение между заявленной оракулом ценой unshETH и ее ожидаемым значением. Оракул указал цену unshETH на уровне 4219 долларов, тогда как его типичный курс по сравнению с WETH должен был составлять около 1880 долларов. Это несоответствие облегчило хакеру возможность манипулировать сделками, извлекая выгоду из системной лазейки, в то время как средства контроля проскальзывания протокола не вмешивались.