总部位于 Arbitrum 的 Rodeo Finance 在最近的一次攻击中损失了 888,000 美元。
攻击者部署了一个 “ForceInvestment “黑客程序,盗取了 472 个以太坊(合 888,000 美元)。该钱包后来将 150 ETH 送入混合龙卷风现金,钱包中剩余 371 ETH。
漏洞利用者最初从龙卷风现金中出资 50 ETH 来执行黑客攻击。
Arbitrum是以太坊网络的一种流行的2层扩展解决方案,它使用乐观卷积技术。
区块链安全公司PeckShield首先在Twitter上强调了这次攻击,并附上攻击交易链接,评论道:”嗨,@Rodeo_Finance,你可能想看看。”
嗨,@Rodeo_Finance你可能想看看: https://t.co/ExSpR3qzqj
– PeckShield Inc. (@peckshield) 2023年7月11日
。
攻击者使用 “Investor.earn() “函数从 Rodeo 的计息 USDC 池中强制掉期。首先,攻击者从池中取出 290 个包裹以太坊 (WETH),将资产桥接到以太坊网络,然后使用 Oracle 操纵,通过将其交换为 unshETH 来抬高以太坊的价格。
unshETH 是一个 DeFi 项目,旨在通过创建一个 ETH 流动市场来促进验证者去中心化,验证者在市场中竞争,以提供最佳收益。
在进行上述交换时,滑点控制–交易订单与执行之间的差额–无效。这意味着将 WETH 转换为 unshETH 并不反映公平的市场价值。
攻击者随后桥接回以太坊网络,从 Rodeo 金库中窃取了另外 230 WETH。
在桥接回以太坊网络之前,向龙卷风现金发送了 150 ETH,并在钱包中留下了 371 ETH。
从 Rodeo 金库中总共攫取了 520 WETH,但只有 472 WETH 算作损失。这是由于攻击者为钱包提供了 50 ETH 来执行漏洞。
PeckShield 最初将此报告为 150 万美元的损失,但由于重复计算,后来更正为 88.8 万美元的损失。
