Brzi pregled
- Rodeo Finance, DeFi platforma na Arbitrumu, navodno je hakirana za 888.000 dolara u etheru.
- Haker je prebacio ukradene fondove sa Arbitruma na Ethereum i preusmerio ih kroz Tornado Cash kako bi zamaglio tragove novca.
Rodeo Finance, DeFi protokol na Arbitrumu, navodno je postao žrtva napada manipulacije orakulima u utorak, pri čemu je počinilac pobegao sa oko 472 ethera (888.000 dolara), najnovijim u nizu nedavnih kripto eksploatacija.
Firma za sigurnost blokčejna PeckShield, koja je prvo otkrila incident, izvršila je dalju analizu podataka na lancu podataka. Njihova analiza ukazuje na to da je napadač prebacio nezakonito stečene dobitke sa Arbitruma na Ethereum. Zatim je zamenio ukradene tokene za razne druge imovine pre nego što ih je ponovo pretvorio u ether. Konačna faza eksploatacije je bila usmeravanje ethera kroz Tornado Cash, popularni mikser transakcija na Ethereum mreži, efektivno zamagljujući tragove novca.
Tim Rodeo Finance još uvek nije izdao odgovor ili saopštenje u vezi sa incidentom.
Igor Igamberdiev, šef istraživanja u Wintermute-u, rekao je za The Block da je napad “TWAP manipulacija orakulima”. U DeFi svetu, TWAP, ili Time-Weighted Average Price, služi kao orakul za izračunavanje prosečne cene imovine tokom određenog vremenskog perioda. Ova metoda se obično koristi kako bi se ublažili efekti kratkotrajnih skokova u volatilnosti cene.
Hakeri DeFi-a manipulišu TWAP orakulima tako što veštački iskrivljuju izračunatu prosečnu cenu imovine kako bi stekli nezasluženu prednost tokom transakcije. Takva manipulacija otvara put za nekoliko vrsta napada, pri čemu su napadi sa brzim zajmovima jedan od njih. U takvom napadu, napadač pozajmljuje veliku sumu određene imovine, umanjuje njenu vrednost putem manipulacije TWAP orakulima, a zatim je kupuje po veštački umanjenoj ceni. Nakon što vrati zajam, napadač zadržava višak, time ostvarujući profit izrađenom manipulacijom.
Kompleksni manevri poput ovih poslednjih godina postali su alati za hakere koji manipulišu podacima o cenama orakula kako bi izvršili eksploatacije, kao što je slučaj sa Rodeo Finance. Napad na Rodeo nije izolovan slučaj, već je deo trenda koji poslednjih meseci muči Arbitrum ekosistem.
U aprilu je Sentiment, još jedan DeFi protokol koji radi na Arbitrumu, izgubio 1 milion dolara od hakera. To je pratila još veća sigurnosna povreda u maju, kada je protokol Jimbos opljačkan za neverovatnih 7,5 miliona dolara.
Incident “ForceInvestment”
Razgovarajući sa The Block-om, PeckShield je pružio uvid u specifičnosti napada. Prema njihovoj analizi, hak na Rodeo Finance naziva se “ForceInvestment” hak.
Firma je rekla da je postojala kritična greška u rutini “Investor.earn()” Rodeo Finance-a, koja je trebala da zameni USDC za omotani ether (WETH), a zatim za drugi likvidni staking token nazvan unshETH. Očekivana kontrola klizanja, koja je trebala da spreči prekomernu odstupanje cene tokom transakcije, nije pravilno funkcionisala zbog pogrešnog unshETH orakula.
Orakul u pitanju, zasnovan na metodologiji Time-Weighted Average Price (TWAP), izračunavao je svoje podatke o ceni koristeći rezervu para WETH/unshETH. Zbog niske likvidnosti ovih rezervi, cena unshETH-a je doživela značajne fluktuacije.
Dodatno pogoršavajući situaciju bila je značajna razlika između orakulom prijavljene cene unshETH-a i njegove očekivane vrednosti. Orakul je naveo cenu unshETH-a od 4219 dolara, dok bi njegova tipična vrednost u odnosu na WETH trebala da bude oko 1880 dolara. Ova razlika je olakšala sposobnost hakera da manipuliše trgovinama, ostvarujući profit iz propusta u sistemu dok kontrole klizanja protokola nisu intervenisale.
U naslovu je izmenjena ukupna izgubljena suma od hakovanja, zajedno sa dodatnim detaljima u članku.