11 липня протокол децентралізованого фінансування (DeFi) Rodeo Finance на основі Arbitrum був використаний для отримання 1,53 мільйона доларів США. Протокол DeFi був використаний з використанням уразливості коду в його Oracle, що призвело до втрати понад 810 ефірів (ETH).
Згідно з даними, опублікованими аналітичною групою блокчейнів Peckshield, пізніше експлуататор перевів вкрадені кошти з Arbitrum на Ethereum і обміняв 285 ETH на $unshETH. Потім експлуататор вніс ETH на ставку ETH2. Нарешті, експлуататор спрямував вкрадений ETH за допомогою популярного сервісу змішування Tornado Cash, який часто використовується експлуататорами як шлях виходу, оскільки ці змішувачі допомагають приховати слід транзакції.
Експлуататор скористався маніпуляцією Orcale із зваженою середньою ціною (TWAP). TWAP Oracle використовується протоколами DeFi для розрахунку середньої ціни активу за певний проміжок часу, щоб пом’якшити коливання ціни через волатильність на ринку криптовалют.
Однак це створює вразливість для експлуататорів, щоб маніпулювати цими оракулами, штучно спотворюючи розраховану середню ціну активу. Це дозволяє їм отримати перевагу під час транзакції, а потім використовувати протокол.
Експлуататор спочатку позичає велику суму активу, а потім штучно маніпулює ціною, щоб купити той самий актив за заниженою ціною. Пізніше експлуататор повертає кредит і отримує прибуток на основі низької ціни, керованої маніпуляціями.
Пов’язане: шахрайство з криптовалютою зросте з розвитком штучного інтелекту
Адреса гаманця експлоататора все ще містить понад 374 ETH, і Etherscan позначив адресу як пов’язану з експлойтом Rodeo. Протокол DeFi мав 20 мільйонів доларів США на загальну суму заблокованих (TVL), яка впала нижче 500 доларів після експлойту.
Експлойт також обвалив ціну нативного токена протоколу DeFi, яка впала більш ніж на 53% за останні 24 години.
Лише у 2023 році був зареєстрований 21 випадок того чи іншого виду експлойту в мережі Arbitrum із загальними збитками понад 20 мільйонів доларів США. Останній експлойт на суму 1,53 мільйона доларів робить його п’ятим за величиною, зареєстрованим на Aribitrum у 2023 році. Rodeo Finance також було використано 5 липня 2023 року на суму ~89 000 доларів США через уразливість у їхній функції mintProtocolReserves.
