Le protocole DeFi fondé sur la blockchain Arbitrum, Rodeo Finance, a été victime d’un hack d’une valeur totale de 1,53 million de dollars. Le hacker aurait dérobé environ 810 ETH à l'aide d'un oracle.
C’est depuis son compte officiel Twitter que la société de sécurité Blockchain PeckShield a signalé l'attaque à la communauté crypto. Selon les propos de l’agence de sécurité, l’une de leur récente analyse a révélé que RodeoFinance avait été piraté et que les pertes s'élevaient à environ 1,53 million de dollars.
Our analysis shows that the @Rodeo_Finance hack (w/ ~$1.53M loss) is a so-called “ForceInvestment” hack: the Investor.earn() routine has a flaw that can be forced to swap $USDC -> $WETH -> $unshETH, but the slippage control cannot take effect as expected due to the flawed… pic.twitter.com/2j0bmQRe2r
— PeckShield Inc. (@peckshield) July 11, 2023
Ce type d’exploitation malicieuse de vulnérabilité est connu sous le nom de “Force Investment”. En effet, il semblerait que la procédure Investor.earn() est dotée d’une vulnérabilité spécifique qui était censée être corrigée via l'échange $USDC -> $WETH -> $unshETH. Cependant, à cause d'un oracle de prix $unshETH incorrect, le système de contrôle des pertes n'a pas fonctionné comme prévu.
L'analyse a montré que l'attaquant a transféré les fonds volés du réseau Arbitrum à Ethereum
Le hacker responsable de l’attaque a ensuite échangé les tokens qu’il a dérobés contre divers autres actifs, avant de les reconvertir en Ether. Au stade final de l'exploit, son stash d’ETH est passé par le populaire mixeur Tornado Cash, dans le but de confondre les traces du mouvement des fonds.
Pour Igor Igamberdiev, responsable de la recherche chez Wintermute, l'attaque qui a été récemment mise en œuvre peut être perçue comme “une manipulation de l'oracle TWAP”. Selon les crypto-investisseurs français dans le domaine de la DeFi, le concept de TWAP (Time-Weighted Average Price) est utilisé comme oracle pour calculer le prix moyen d'un actif sur une certaine période de temps. Cette méthode est souvent utilisée pour limiter l'impact des sauts à court terme des prix des actifs.
Hier 10 juillet, le protocole Arcadia Finance a été piraté en raison d'un “manque de validation pour une entrée non fiable”. Le montant des pertes s'élevait à 455 000 $.
Pour le moment, aucun responsable de Rodeo Finance ne s’est encore prononcé sur le hacking.
Amateur du trading, d’autant plus du trading en ligne, je passe des heures à analyser la Bourse et ses opportunités. J’ai commencé par un métier banal, comptable. Doué avec les chiffres, je me suis rapidement intéressé au trading, tout d’abord dans un cadre personnel. Puis j’ai choisi d’en faire mon métier en me mettant au service de DigitalBusiness.fr.