La società Rodeo Finance, con sede ad Arbitrum, ha perso 888.000 dollari in un recente attacco.
È stato utilizzato un hack “ForceInvestment” che ha permesso all’aggressore di rubare 472 Ethereum (888.000 dollari). Il portafoglio ha poi inviato 150 ETH nel mixer Tornado Cash, lasciando 371 ETH rimanenti nel portafoglio.
L’exploiter ha originariamente finanziato 50 ETH da Tornado Cash per eseguire l’hacking.
Arbitrum è una popolare soluzione di scalatura di livello 2 per la rete Ethereum che utilizza la tecnologia optimistic roll-up.
L’azienda di sicurezza blockchain PeckShield ha evidenziato per prima l’attacco su Twitter con un link alla transazione di attacco commentando: “Ciao, @Rodeo_Finance potresti voler dare un’occhiata “
Ciao, @Rodeo_Finance potreste voler dare un’occhiata: https://t.co/ExSpR3qzqj
– PeckShield Inc. (@peckshield) July 11, 2023
L’aggressore ha utilizzato la funzione “Investor.earn()” per forzare uno swap dal pool di USDC fruttiferi di Rodeo. In primo luogo, l’exploiter ha prelevato 290 Wrapped Ethereum (WETH) dal pool, collegando gli asset alla rete Ethereum prima di utilizzare la manipolazione dell’oracolo per gonfiare il prezzo del proprio ETH scambiandolo con unshETH.
unshETH è un progetto della DeFi che mira a promuovere la decentralizzazione dei validatori, creando un mercato per la liquidità di ETH con pali in cui i validatori competono per offrire il miglior rendimento.
Quando viene eseguito lo scambio di cui sopra, il controllo dello slippage – la differenza tra l’ordine di un’operazione e la sua esecuzione – non è valido. Ciò significa che la conversione di WETH in unshETH non riflette un valore di mercato equo.
L’aggressore si è quindi collegato alla rete Ethereum per rubare altri 230 WETH dal caveau di Rodeo.
Prima di tornare alla rete Ethereum, inviando 150 ETH in Tornado Cash e lasciando 371 ETH nel portafoglio.
Un totale di 520 WETH è stato prelevato dal caveau di Rodeo, ma solo 472 WETH sono stati conteggiati come perdite. Ciò è dovuto al fatto che l’aggressore ha finanziato il portafoglio con 50 ETH per eseguire l’exploit.
PeckShield aveva originariamente riportato una perdita di 1,5 milioni di dollari, ma in seguito l’ha corretta in una perdita di 888.000 dollari a causa di un doppio calcolo.
