Una vulnerabilidad de código en su Oracle ha llevado a otro gran exploit de Rodeo Finance, un protocolo DeFi que opera en la red de capa 2 de Arbitrum. El hacker pudo drenar $1,53 millones del protocolo manipulando la fuente de precios de Oracle.
Otro Exploit Imprevisible es el Culpable Detrás del Ataque a Rodeo Finance
Rodeo Finance, un protocolo DeFi que opera en la blockchain de Arbitrum, enfrentó su segundo gran exploit el 11 de Julio, perdiendo 472 ETH por un valor de alrededor de $888,000 millones. El atacante aprovechó una vulnerabilidad de código en Oracle de Rodeo, que proporciona datos de precios para el protocolo.
El atacante movió el dinero ilícito de una red blockchain a otra y luego intercambió 285 ETH por una versión sintética de ETH, según informó PeckShield, una empresa que monitorea la actividad blockchain.
Después del intercambio, el atacante encerró ETH en un contrato que permite obtener recompensas por proteger la red antes de enviar 150 ETH a Tornado Cash, un servicio que ayuda a ocultar el historial de transacciones.
Correction: the total loss w/ 472 $ETH (~$888K)
The exploiter swapped 285 $ETH for $unshETH and bridged them back to #Arbitrum to continue the hackhttps://t.co/wmlQ7pJlKV— PeckShieldAlert (@PeckShieldAlert) July 11, 2023
El atacante usó una técnica que consiste en manipular el oráculo del precio promedio ponderado en el tiempo (TWAP), que es una forma de calcular el precio promedio de un activo durante un período de tiempo determinado.
Los protocolos DeFi utilizan este método para reducir el impacto de las fluctuaciones de precios en sus operaciones. Sin embargo, este método también los expone al riesgo de ataques de oráculo, donde el atacante puede influir en los datos de precios que proporciona el oráculo.
La estrategia del explotador era tomar un gran préstamo de un activo y luego reducir su precio a través de la manipulación del mercado. Al hacerlo, podrían volver a comprar el mismo activo a un costo mucho menor. Esto les permitió pagar el préstamo y embolsarse la diferencia como ganancia.
Rodeo Finance sufrió un duro golpe con este ataque reciente, que redujo su valor total bloqueado (TVL) de $20 millones a menos de $500. La dirección de la wallet del atacante contiene más de 370 ETH y Etherscan la ha marcado como vinculada al incidente de Rodeo.