Rodeo Finance, con sede en Arbitrum, ha perdido 888.000 dólares en un reciente ataque.
Un hack «ForceInvestment» fue desplegado, permitiendo al atacante robar 472 Ethereum ($888,000). Posteriormente envió 150 ETH a la mezcladora Tornado Cash, dejando 371 ETH restantes en la cartera.
El explotador originalmente financiado 50 ETH de Tornado Cash para ejecutar el hack.
Arbitrum es una popular solución de escalado de capa 2 para la red Ethereum que utiliza tecnología de roll-up optimista.
La firma de seguridad Blockchain PeckShield, destacó por primera vez el ataque en Twitter con un enlace a la transacción de ataque comentando: «Hola, @Rodeo_Finance es posible que desee echar un vistazo. «
Hola, @Rodeo_Finance puede que quieras echar un vistazo: https://t.co/ExSpR3qzqj
– PeckShield Inc. (@peckshield) 11 de julio de 2023
El atacante utilizó la función «Investor.earn()» para forzar un canje del fondo de USDC con intereses de Rodeo. En primer lugar, el explotador tomó 290 Wrapped Ethereum (WETH) del pool, puenteando los activos a la red Ethereum antes de utilizar la manipulación del oráculo para inflar el precio de su ETH intercambiándolo por unshETH.
unshETH es un proyecto de DeFi destinado a promover la descentralización de los validadores mediante la creación de un mercado de liquidez de ETH estacado en el que los validadores compiten por ofrecer el mejor rendimiento.
Cuando se realiza el intercambio anterior, el control de deslizamiento -la diferencia entre la orden de una operación y su ejecución- no es válido. Esto significaba que la conversión de WETH a unshETH no reflejaba un valor de mercado justo.
A continuación, el atacante volvió a la red Ethereum para robar otros 230 WETH de la cámara acorazada de Rodeo.
Antes de volver a la red Ethereum, envió 150 ETH a Tornado Cash y dejó 371 ETH en la cartera.
Un total de 520 WETH fueron sustraídos de la bóveda de Rodeo, pero sólo 472 WETH se contabilizan como pérdidas. Esto se debe a que el atacante financió la cartera con 50 ETH para ejecutar el exploit.
PeckShield informó originalmente de esto como una pérdida de 1,5 millones de dólares, pero más tarde lo corrigió a una pérdida de 888.000 dólares debido a un doble cálculo.
