Arbitrumを拠点とするRodeo Financeが最近の攻撃で888,000ドルを失った。
ForceInvestment」ハッキングが展開され、攻撃者は472イーサリアム(888,000ドル)を盗むことができました。その後、ウォレットは150ETHをミキサー・トルネード・キャッシュに送り込み、ウォレットには371ETHが残った。
攻撃者は当初、ハッキングを実行するためにトルネード・キャッシュから50ETHを資金提供していた。
Arbitrumは、楽観的ロールアップ技術を使用するイーサリアムネットワークのための一般的なレイヤー2スケーリングソリューションです。
ブロックチェーンセキュリティ会社のPeckShieldは、攻撃トランザクションへのリンクとともにツイッターで最初にこの攻撃を取り上げ、「こんにちは、@Rodeo_Financeさん、見てみるといいかもしれません」とコメントした。
こんにちは、@Rodeo_Financeご覧になってはいかがでしょうか: https://t.co/ExSpR3qzqj
– PeckShield Inc. (@peckshield) 2023年7月11日
。
攻撃者は「Investor.earn()」関数を使用し、Rodeoの利付USDCプールからスワップを強制した。まず、攻撃者はプールから290 Wrapped Ethereum (WETH)を取り出し、資産をイーサリアムネットワークにブリッジングした後、オラクル操作を使ってETHの価格を吊り上げ、unshETHにスワップしました。
unshETHは、バリデータが最高の利回りを提供するために競争するステークされたETH流動性のための市場を作成することにより、バリデータの分散化を促進することを目的としたDeFiプロジェクトです。
上記のスワップが実行されると、スリッページ・コントロール(取引の注文と執行の差)は無効になる。これは、WETHからunshETHへの変換が公正な市場価値を反映していないことを意味する。
その後、攻撃者はイーサリアムネットワークにブリッジバックし、ロデオ保管庫からさらに230WETHを盗み出しました。
その後、イーサリアムネットワークにブリッジバックし、150ETHをトルネードキャッシュに送金し、371ETHをウォレットに残した。
合計520WETHがRodeo保管庫から奪取されたが、損失としてカウントされるのは472WETHのみである。これは、攻撃者がエクスプロイトを実行するために50ETHをウォレットに入金したためです。
PeckShieldは当初これを150万ドルの損失として報告しましたが、後に二重計算のため888,000ドルの損失に訂正しました
。