Cryptonews DeFi News Rodeo Finance, su Arbitrum, perde 888.000 dollari nell’ultimo hacking della DeFi

Rodeo Finance, su Arbitrum, perde 888.000 dollari nell’ultimo hacking della DeFi

Sauro Arceri

Luglio 11, 2023 17:31 CEST | 3 min read

Il protocollo DeFi su Arbitrum, Rodeo Finance, è apparentemente caduto vittima di un attacco di manipolazione dell’oracolo nella giornata di oggi, martedì 11 luglio, e l’aggressore è riuscito a portare via circa 472 Ether, equivalenti a 888.000 dollari.

La società di sicurezza blockchain PeckShield, che ha inizialmente rilevato l’incidente, ha condotto un’ulteriore analisi dei dati on-chain.

L’analisi indica che l’aggressore ha trasferito i guadagni illeciti da Arbitrum a Ethereum. In seguito ha scambiato i token rubati con vari altri beni prima di riconvertirli in Ether. La fase finale dell’exploit ha visto gli Ether transitare attraverso Tornado Cash, un popolare mixer di transazioni sulla rete Ethereum, offuscando di fatto la traccia dei fondi.

Il team di Rodeo Finance non ha ancora rilasciato una risposta o una dichiarazione in merito all’incidente.

La nuova arma degli hacker: la manipolazione degli oracoli

Igor Igamberdiev, responsabile della ricerca di Wintermute, ha dichiarato che l’attacco è una “manipolazione dell’oracolo TWAP“. Nell’ambito della DeFi, il TWAP (Time-Weighted Average Price) funge da oracolo per calcolare il prezzo medio di un asset in uno specifico lasso di tempo. Questo metodo è tipicamente utilizzato per mitigare gli effetti di brevi picchi di volatilità dei prezzi.

Gli hacker della DeFi manipolano gli oracoli TWAP alterando artificialmente il prezzo medio calcolato di un asset con lo scopo di ottenere un vantaggio indebito durante una transazione. Questa manipolazione apre la strada a diverse forme di attacco, tra cui gli exploit dei prestiti flash.

In questo tipo di exploit, l’aggressore prende in prestito un’ingente somma di un determinato bene, lo svaluta tramite la manipolazione dell’oracolo TWAP e poi ne acquista altri al prezzo artificialmente deprezzato. Una volta rimborsato il prestito, l’aggressore trattiene l’eccedenza, traendo così profitto da un elaborato schema di manipolazione.

Manovre complesse come queste sono diventate negli ultimi anni gli strumenti preferiti degli hacker, i quali manipolano i feed degli oracoli dei prezzi per eseguire gli exploit, come si è visto nel caso di Rodeo Finance.

L’exploit di Rodeo non è un caso isolato, ma fa parte di una tendenza che ha afflitto l’intero ecosistema Arbitrum negli ultimi mesi.

Ad aprile, Sentiment, un altro protocollo DeFi basato su Arbitrum, ha perso 1 milione di dollari a causa di un hacker. A maggio è seguita una violazione della sicurezza ancora più grave, in cui il protocollo Jimbos è stato privato di ben 7,5 milioni di dollari.

L’incidente “ForceInvestment”

Parlando con The Block, PeckShield ha fornito informazioni specifiche sull’attacco. Secondo la sua analisi, l’hack di Rodeo Finance viene definito “ForceInvestment“.

L’azienda ha dichiarato che c’era una falla critica nella routine “Investor.earn()” di Rodeo Finance, progettata per scambiare USDC con wrapped ether (WETH) e poi con un altro token liquido di staking chiamato unshETH. Il controllo di slittamento previsto, destinato a prevenire un’eccessiva deviazione del prezzo durante una transazione, non ha funzionato correttamente a causa di un oracolo errato del prezzo di unshETH.

L’oracolo in questione, basato sulla metodologia Time-Weighted Average Price (TWAP), calcolava i dati di prezzo utilizzando la riserva della coppia WETH/unshETH. A causa della scarsa liquidità di queste riserve, il prezzo dell’unshETH ha subito notevoli fluttuazioni.

Ad aggravare ulteriormente la situazione è stata la significativa discrepanza tra il prezzo dell’unshETH comunicato dall’oracolo e il suo valore atteso. L’oracolo ha indicato il prezzo di unshETH a 4.219 dollari, mentre il suo tasso tipico rispetto a WETH avrebbe dovuto collocarlo intorno ai 1.880 dollari.

Questa discrepanza ha facilitato la capacità dell’hacker di manipolare le transazioni, approfittando di una falla del sistema mentre i controlli di slittamento del protocollo non sono intervenuti.