基于仲裁的去中心化金融(DeFi)协议 Rodeo Finance 于 7 月 11 日被利用,损失 153 万美元。该 DeFi 协议被利用其 Oracle 中的代码漏洞,导致超过 810 以太币损失。
根据区块链分析公司 PeckShield 分享的数据,攻击者后来将被盗资金从 Arbitrum 桥接至以太坊,并将 285 ETH 换成 unshETH。然后,利用者将 ETH 存入 Eth2 质押中。最后,利用流行的混合服务 Tornado Cash 路由被盗的 ETH,利用者经常将其用作隐藏交易足迹的退出路线。
攻击者使用时间加权平均价格预言机操纵,DeFi 协议使用该预言机来计算特定时间范围内资产的平均价格,并减轻因市场波动而导致的价格波动。
然而,它为利用者提供了一个漏洞,可以通过人为地扭曲计算出的资产平均价格来操纵这些预言机。这使他们能够在交易过程中占据上风并利用协议。
剥削者首先借入大量资产,然后人为操纵价格以平价购买同一资产。随后,剥削者返还贷款,并通过操纵操纵低价获利。
漏洞利用者的钱包地址仍然持有超过 374 个 ETH,并且 Etherscan 已将该地址标记 为与 Rodeo 漏洞利用相关。该 DeFi 协议锁定的总价值 (TVL) 为 2000 万美元,在漏洞利用后跌破 500 美元。
该漏洞还导致 DeFi 协议的原生代币价格暴跌,在过去 24 小时内下跌了 53% 以上。
仅 2023 年,Arbitrum 网络上就记录了 21 起某种形式的利用事件,总损失超过 2000 万美元。最新的漏洞利用金额为 153 万美元,成为 2023 年 Aribitrum 上记录的第五大漏洞。Rodeo Finance 也因 mintProtocolReserves 函数中的漏洞而于 7 月 5 日被利用,损失额约为 89,000 美元。
