Criptomoedas

Hacker rouba US$ 888 mil em ataque na Arbitrum

Em seu perfil do Twitter, o protocolo Rodeo diz que estão investigando o hack com a ajuda de vários auditores.

Hacker rouba US$ 888 mil em ataque na Arbitrum
back view of hooded hacker sitting near computer monitors with data on screens on black

A Rodeo Finance, protocolo de finanças descentralizadas para negociações alavancadas construída em Arbitrum, perdeu US$ 888.000 em um ataque hacker, conforme exposto nesta terça-feira (11) pela empresa de segurança On Chain PeckShield.

O criminoso ainda gastou 50 ETH do Tornado Cash para executar o hack, chamado “ForceInvestment”. A técnica permitiu que o criminoso explorasse uma falha no contrato inteligente do aplicativo.

Após o roubo, a carteira do hacker enviou 150 ETH para o misturador Tornado Cash, deixando ainda 371 ETH restantes na carteira. Ele usou a função “Investor.earn()” para realizar uma troca forçada de criptoativos do pool de liquidez alavancado em USDC da Rodeo.

O ataque hacker

Primeiro, o hacker pegou 290 Wrapped Ethereum (WETH) do pool, ligando os ativos à rede Ethereum antes de usar a manipulação do oráculo para inflar o preço de seu ETH, trocando-o por unshETH. Os oráculos são ferramentas que buscam trazer informações de fora do blockchain para dentro, como por exemplo preço de mercado.

Já o unshETH se trata de outro protocolo DeFi, que tem como objetivo promover a descentralização do validador, o praticante do staking. Os validadores competem para oferecer o melhor rendimento, criando assim um mercado para liquidez de ETH.

Quando ocorre a troca, invalida-se o controle de derrapagem, que é a diferença entre a ordem de uma negociação e sua execução. Isso significava que a conversão de WETH para unshETH não refletia um valor de mercado justo. Após isso, o invasor voltou à rede Ethereum para roubar outros 230 WETH do cofre da Rodeo.

Um total de 520 WETH foi retirado do cofre do Rodeo, mas apenas 472 WETH são contabilizados como perdas. Isso ocorre porque o hacker financiou a carteira com 50 ETH para executar a atividade.

Próximos passos

Em seu perfil do Twitter, o protocolo Rodeo diz que estão investigando o hack com a ajuda de vários auditores. A equipe pausou o protocolo para proteger os fundos e manterá essa condição até que finalizem e implementem um plano de remediação em conjunto com o conselho de segurança.

A equipe ainda confirma que, o ataque ocorreu devido uma falha em um de seus oráculos, e só o que o criminoso precisou fazer foi “arbitrar o pool de DEX de volta ao seu preço normal.”

“Estamos trabalhando com parceiros para tentar rastrear e congelar ativos roubados. Os próximos passos são trabalhar com auditores de segurança para finalizar o plano de recuperação, que será compartilhado assim que considerado seguro”, escreveu a equipe.

Este conteúdo é informativo e educacional e não constitui recomendação de investimento. Rentabilidade passada não é garantia de resultados futuros.

Compartilhar
Sobre o autor
Leonardo Rubinstein
Jornalista formado pela Universidade Presbiteriana Mackenzie. Repórter, e autor do livro "2020: O Ano que Não Aconteceu". Escreve sobre criptoativos, tokenização, Web3 e blockchain, além de matérias na editoria de tecnologia, como inteligência artificial, Real Digital e temas semelhantes. Já cobriu eventos como Consensus, LabitConf, Criptorama e Satsconference.
Continue scrollando para a próxima matéria…