Эксперты по безопасности из компании PeckShield сообщили, что хакеры сумели вывести 472 ETH на $888000 из DeFi-протокола на базе Arbitrum Rodeo Finance. Предполагается, что атака была проведена с помощью манипуляции ценовым оракулом.
Функция ценового оракула используется протоколами DeFi для расчёта средней цены актива за определённый период времени и смягчения колебаний цен из-за волатильности рынка.
Тем не менее, этот инструмент предоставляет злоумышленникам возможность манипулировать оракулами, искусственно искажая расчётную среднюю цену актива.
Сначала хакер занимает крупную сумму актива, а затем искусственно манипулирует ценой, чтобы купить тот же актив по заниженной цене. Позже он возвращает кредит и получает прибыль на основе низкой цены, полученной за счёт манипуляций.
Согласно Peckshield, злоумышленник перевёл украденные средства из Arbitrum в Ethereum и обменял их на unshETH, чтобы перевести их на Ankr. После этого активы были переведены на Tornado Cash.
На текущий момент команда Rodeo Finance не признала взлом и хранит молчание. Rodeo Finance уже был взломан 5 июля примерно из-за уязвимости в функции mintProtocolReserves с потерей $ 89 000.
