Arbitrum, Rodeo Finance a perdu 888 000 dollars lors d’une récente attaque.
Un hack « ForceInvestment » a été déployé, permettant à l’attaquant de voler 472 Ethereum (888 000 $). Le portefeuille a ensuite envoyé 150 ETH dans le mixer Tornado Cash, laissant 371 ETH restants dans le portefeuille.
L’exploiteur a initialement financé 50 ETH à partir de Tornado Cash pour exécuter le piratage.
Arbitrum est une solution populaire de mise à l’échelle de la couche 2 pour le réseau Ethereum qui utilise la technologie de roll-up optimiste.
La société de sécurité blockchain PeckShield a d’abord mis en évidence l’attaque sur Twitter avec un lien vers la transaction d’attaque en commentant, « Hi, @Rodeo_Finance you may want to take a look. «
Hi, @Rodeo_Finance vous voudrez peut-être jeter un coup d’œil : https://t.co/ExSpR3qzqj
– PeckShield Inc. (@peckshield) 11 juillet 2023
L’attaquant a utilisé la fonction « Investor.earn() » pour forcer un échange à partir du pool d’USDC porteurs d’intérêts de Rodeo. Tout d’abord, l’exploiteur a pris 290 Wrapped Ethereum (WETH) du pool, en connectant les actifs au réseau Ethereum avant d’utiliser la manipulation de l’oracle pour gonfler le prix de leur ETH en l’échangeant contre de l’unshETH.
unshETH est un projet DeFi visant à promouvoir la décentralisation des validateurs en créant une place de marché pour la liquidité de l’ETH dans laquelle les validateurs rivalisent pour offrir le meilleur rendement.
Lorsque l’échange ci-dessus est effectué, le contrôle du slippage – la différence entre l’ordre d’une transaction et son exécution – n’est pas valide. Cela signifie que la conversion de WETH en unshETH ne reflète pas une valeur de marché équitable.
L’attaquant est ensuite retourné sur le réseau Ethereum pour voler 230 WETH supplémentaires dans le coffre-fort de Rodeo.
Avant de revenir sur le réseau Ethereum, il a envoyé 150 ETH dans Tornado Cash et a laissé 371 ETH dans le portefeuille.
Un total de 520 WETH a été saisi dans le coffre-fort de Rodeo, mais seuls 472 WETH sont comptabilisés comme pertes. Cela est dû au fait que l’attaquant a financé le portefeuille avec 50 ETH pour exécuter l’exploit.
PeckShield a initialement rapporté une perte de 1,5 million de dollars, mais l’a ensuite corrigée en une perte de 888 000 dollars en raison d’un double calcul.
