Эксперты по безопасности блокчейна из исследовательской компании PeckShield сообщили, что хакеры смогли вывести 472 ETH ($888,000) из протокола DeFi Rodeo Finance, используя атаку манипуляции оракулом.
Rodeo Finance функционирует на базе Arbitrum. Хакеры смогли вывести 472 обернутых ETH из протокола и передать их на Ethereum mainnet, затем они конвертировали эту криптовалюту Эфир на другие активы и провели обратную конвертацию, в конечном итоге перекинув средства в Tornado Cash Mixer (миксер криптовалют).
Команда Rodeo Finance до сих пор не признала кибератаку и молчит.
Игорь Игамбердиев, руководитель исследовательского отдела Wintermute, сказал, что хакер использовал «манипуляцию оракулом с взвешенным средним временем (TWAP)», чтобы совершить кибератаку.
TWAP-оракулы используются для расчета средней цены актива за определенный период времени. Это позволяет смягчить влияние краткосрочных скачков цен. Соответственно, хакеры, манипулируя TWAP-оракулами, искажают расчетную среднюю цену актива, чтобы получить преимущество. Такие манипуляции могут использоваться для нескольких видов атак, включая использование мгновенных займов.
Однако, согласно PeckShield, в случае с Rodeo Finance мгновенные займы не использовались. Киберпреступники использовали уязвимость в процедуре "Investor.eam()" смарт-контракта проекта.
Данная процедура предназначена для обмена USDC на WETH, а затем на ликвидный токен unshETH. Контроль проскальзывания, который должен предотвращать чрезмерное отклонение цены во время транзакции, не работал должным образом из-за ошибочного TWAP-оракула цены unshETH. Этот TWAP-оракул использовался для расчета цены WETH/unshETH, но из-за низкой ликвидности резервов колебания цены были значительными. Оракул информировал о цене unshETH в размере $4219 вместо $1880, что позволило киберпреступнику проводить манипуляции сделками и получить впечатляющую прибыль.
Источник
Уникальность
