Хакер вывел из DeFi-протокола Rodeo Finance в сети Arbitrum 810,1 ETH (~$1,5 млн на момент написания) посредством манипуляций с оракулом.
Согласно анализу PeckShield, после взлома злоумышленник отправил украденные активы в сеть Ethereum, а затем обменял их на unshETH, чтобы перевести средства в стейкинговый сервис Ankr. Впоследствии он отмыл криптовалюту через миксер Tornado Cash.
Представители Rodeo Finance пока официально не отреагировали на инцидент.
Глава исследовательского отдела Wintermute Игорь Игамбердиев заявил The Block, что атака представляла собой «манипуляцию с оракулом TWAP».
По его словам, хакер искусственно искажал среднюю цену актива, чтобы получить неправомерное преимущество во время транзакций. Подобный эксплойт позволил провести атаку с использованием флэш-кредита, отметил он.
Игамбердиев уточнил, что злоумышленник, вероятно, занял огромную сумму, обесценил актив с помощью эксплойта, а затем приобрел еще больше монет по искусственно заниженной цене.
Эксперты PeckShield добавили, что серьезная ошибка находилась в цепочке обмена USDC на обернутый ETH и затем на unshETH. Ожидаемый контроль проскальзывания, предназначенный для предотвращения чрезмерного отклонения цены, не работал должным образом из-за неисправности ценового оракула последнего, пояснили аналитики.
В июле DeFi-протокол Arcadia Finance подвергся взлому на $455 000. По данным PeckShield, в коде якобы отсутствовал механизм перекрестного анализа неподтвержденных входных данных.
Ранее эксперты Beosin сообщили, что за первую половину 2023 года сектор цифровых активов потерял около $655,6 млн в результате хакерских атак, мошенничеств и rug pull.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
