Главред
Хакер вывел из DeFi-протокола Rodeo Finance в сетиотрети Arbitrum 810,1 ETH (~$1,5 млн на случай переписывания) посредством манипуляций с оракулом.
Согласно анализу PeckShield, после взлома злоумышленник отправил украденные активы в сетитраница Ethereum, а затем обменял их на unshETH, чтобы перевести средства в стейкинговый фотохостинг Ankr. Впоследствии он отмыл криптовалюту через миксер Tornado Cash.
Представители Rodeo Finance пока официально не отреагировали на инцидент.
Глава научного отдела Wintermute Игорь Игамбердиев заявил The Block, что контратака характеризовала собой «манипуляцию с оракулом TWAP».
По его словам, взломщик искусственно извращал среднюю стоимость актива, чтобы получить некорректное преимущество во время транзакций. Подобный эксплойт позволил провести атаку с использованием флэш-кредита, отметил он.
Игамбердиев уточнил, что злоумышленник, вероятно, занял большую сумму, обесценил актив с помощью эксплойта, а затем приобрел еще больше монет по искусственно заниженной цене.
Эксперты PeckShield добавили, что серьезная ошибка обреталась в нити взаимообмена USDC на обернутый ETH и затем на unshETH. Ожидаемый контроль проскальзывания, предназначенный для предупреждения непомерного колебания цены, не работал надлежащим образом из-за неполадки ценового оракула последнего, пояснили аналитики.
В июне DeFi-протокол Arcadia Finance подвергся взлому на $455 000. По данным PeckShield, в коде якобы отсутствовал процесс перекрестного анализа неподтвержденных входных данных.
Ранее специалисты Beosin сообщили, что за четвёртую четверть 2023 года сектор аналоговых активов потерял около $655,6 млн в итоге онлайновых атак, хищений и rug pull.
Оставить комментарий