Rodeo Finance, basado en Arbitrum, sufre un segundo ataque y le roban USD 1.5 millones

　　Prashant Jha

　　hace 22 minutos

　　Rodeo Finance, basado en Arbitrum, sufre un segundo ataque y le roban USD 1.5 millones

　　El explotador manipuló los oráculos de precios para ganar ventaja en las operaciones ejecutadas utilizando el precio manipulado.

　　El 11 de julio, el protocolo financiero descentralizado (DeFi) Rodeo Finance, basado en Arbitrum, sufrió un ataque por valor de USD 1.53 millones. El protocolo DeFi fue explotado utilizando una vulnerabilidad de código en su Oracle, lo que provocó una pérdida de más de 810 Ether (ETH).

　　Según los datos compartidos por la empresa de análisis de blockchain PeckShield, el explotador posteriormente pasó los fondos robados de Arbitrum a Ethereum e intercambió 285 ETH por unshETH. A continuación, el explotador depositó el ETH en staking de Eth2. Por último, el explotador enrutó el ETH robado utilizando el popular servicio de mezcla Tornado Cash, que los explotadores suelen utilizar como ruta de salida para ocultar la huella de la transacción.

　　El explotador utilizó la manipulación del oráculo de precio medio ponderado en el tiempo, que se utiliza en los protocolos DeFi para calcular el precio medio de un activo durante un periodo de tiempo específico y mitigar la fluctuación de precios debida a la volatilidad del mercado.

　　Sin embargo, ofrece una vulnerabilidad para que los explotadores manipulen estos oráculos sesgando artificialmente el precio medio calculado de un activo. Esto les permite tomar ventaja y aprovecharse del protocolo durante una transacción.

　　En primer lugar, un explotador toma prestada una gran suma de un activo y, a continuación, manipula artificialmente el precio para comprar el mismo activo a un precio deflactado. Más tarde, el explotador devuelve el préstamo y obtiene un beneficio basado en el bajo precio conseguido por las manipulaciones.

　　La dirección de la billetera del explotador todavía tiene más de 374 ETH, y Etherscan ha marcado la dirección como vinculada al exploit Rodeo. El protocolo DeFi tenía USD 20 millones en valor total bloqueado (TVL), cayendo por debajo de los USD 500 tras el exploit.

　　El exploit también derrumbó el precio del token nativo del protocolo DeFi, cayendo más del 53% en las últimas 24 horas.

　　Solo en 2023, se registraron 21 incidentes de algún tipo de exploit en Arbitrum Network, con una pérdida combinada de más de USD 20 millones. El último exploit de USD 1.53 millones lo convierte en el quinto más grande registrado en Aribitrum en 2023. Rodeo Finance también fue explotado el 5 de julio por alrededor de USD 89,000 debido a una vulnerabilidad en su función mintProtocolReserves.

　　Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.