![\"\"](\"https:\/\/cryptonews.com\/wp-content\/uploads\/sites\/8\/2023\/07\/CN-COVER-036.png\")
<\/p><\/p>
Il protocollo DeFi<\/strong> su Arbitrum<\/strong>, Rodeo Finance<\/strong>, \u00e8 apparentemente caduto vittima di un attacco di manipolazione dell’oracolo<\/strong> nella giornata di oggi, marted\u00ec 11 luglio, e l’aggressore \u00e8 riuscito a portare via circa 472 Ether<\/strong>, equivalenti a 888.000 dollari<\/strong>.<\/p> La societ\u00e0 di sicurezza blockchain PeckShield<\/strong>, che ha inizialmente rilevato l’incidente, ha condotto un’ulteriore analisi dei dati on-chain<\/em>.<\/p> L’analisi indica che l’aggressore ha trasferito i guadagni illeciti da Arbitrum a Ethereum<\/strong>. In seguito ha scambiato i token rubati con vari altri beni prima di riconvertirli in Ether<\/strong>. La fase finale dell’exploit ha visto gli Ether<\/strong> transitare attraverso Tornado Cash<\/strong><\/a>, un popolare mixer di transazioni sulla rete Ethereum<\/strong>, offuscando di fatto la traccia dei fondi.<\/p> Il team di Rodeo Finance<\/strong> non ha ancora rilasciato una risposta o una dichiarazione in merito all’incidente.<\/p> <\/span> Gli hacker della DeFi<\/strong> manipolano gli oracoli TWAP<\/strong> alterando artificialmente il prezzo medio calcolato di un asset con lo scopo di ottenere un vantaggio indebito durante una transazione. Questa manipolazione apre la strada a diverse forme di attacco, tra cui gli exploit<\/strong> dei prestiti flash<\/strong>.<\/p> In questo tipo di exploit<\/strong>, l’aggressore prende in prestito un’ingente somma di un determinato bene, lo svaluta tramite la manipolazione dell’oracolo TWAP<\/strong> e poi ne acquista altri al prezzo artificialmente deprezzato. Una volta rimborsato il prestito, l’aggressore trattiene l’eccedenza, traendo cos\u00ec profitto da un elaborato schema di manipolazione.<\/p> Manovre complesse come queste sono diventate negli ultimi anni gli strumenti preferiti degli hacker<\/strong>, i quali manipolano i feed degli oracoli dei prezzi per eseguire gli exploit<\/strong>, come si \u00e8 visto nel caso di Rodeo Finance<\/strong>.<\/p> L’exploit di Rodeo<\/strong> non \u00e8 un caso isolato, ma fa parte di una tendenza<\/strong> che ha afflitto<\/strong> l’intero ecosistema Arbitrum<\/strong> negli ultimi mesi.<\/p> Ad aprile, Sentiment<\/strong>, un altro protocollo DeFi<\/strong> basato su Arbitrum<\/strong>, ha perso 1 milione di dollari<\/strong> a causa di un hacker. A maggio \u00e8 seguita una violazione della sicurezza ancora pi\u00f9 grave, in cui il protocollo Jimbos<\/strong> \u00e8 stato privato di ben 7,5 milioni di dollari<\/strong>.<\/p> <\/span> L’azienda ha dichiarato che c’era una falla critica nella routine “Investor.earn()<\/strong>” di Rodeo Finance<\/strong>, progettata per scambiare USDC<\/strong> con wrapped ether (WETH)<\/strong> e poi con un altro token liquido di staking chiamato unshETH<\/strong>. Il controllo di slittamento previsto, destinato a prevenire un’eccessiva deviazione del prezzo durante una transazione, non ha funzionato correttamente a causa di un oracolo errato del prezzo di unshETH<\/strong>.<\/p> L’oracolo in questione, basato sulla metodologia Time-Weighted Average Price (TWAP)<\/strong>, calcolava i dati di prezzo utilizzando la riserva della coppia WETH\/unshETH<\/strong>. A causa della scarsa liquidit\u00e0 di queste riserve, il prezzo dell’unshETH<\/strong> ha subito notevoli fluttuazioni.<\/p> Ad aggravare ulteriormente la situazione \u00e8 stata la significativa discrepanza tra il prezzo dell’unshETH<\/strong> comunicato dall’oracolo e il suo valore atteso. L’oracolo ha indicato il prezzo di unshETH a 4.219 dollari<\/strong>, mentre il suo tasso tipico rispetto a WETH<\/strong> avrebbe dovuto collocarlo intorno ai 1.880 dollari<\/strong>.<\/p> Questa discrepanza ha facilitato la capacit\u00e0 dell’hacker di manipolare le transazioni<\/strong>, approfittando di una falla del sistema mentre i controlli di slittamento del protocollo non sono intervenuti.<\/p> Il protocollo DeFi su Arbitrum, Rodeo Finance, \u00e8 apparentemente caduto vittima di un attacco di manipolazione dell’oracolo nella giornata di oggi, marted\u00ec 11 luglio, e l’aggressore \u00e8 riuscito a portare via circa 472 Ether (pari a 888.000 dollari).<\/p>\n","protected":false},"author":181,"featured_media":130759,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10,1],"tags":[56,102,53],"editors":[2153],"sponsored_companies":[],"class_list":["post-130758","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-defi-news","category-news","tag-criptovalute","tag-defi","tag-ethereum","editors-sauro-arceri"],"acf":[],"yoast_head":"\nLa nuova arma degli hacker: la manipolazione degli oracoli<\/h2>
\nIgor Igamberdiev, responsabile della ricerca di Wintermute<\/strong>, ha dichiarato che l’attacco \u00e8 una “manipolazione dell’oracolo TWAP<\/em>“. Nell’ambito della DeFi<\/strong>, il TWAP<\/strong> (Time-Weighted Average Price)<\/strong> funge da oracolo<\/strong> per calcolare il prezzo medio di un asset in uno specifico lasso di tempo. Questo metodo \u00e8 tipicamente utilizzato per mitigare gli effetti di brevi picchi di volatilit\u00e0 dei prezzi.<\/p>L’incidente “ForceInvestment”<\/h2>
\nParlando con The Block<\/strong>, PeckShield<\/strong> ha fornito informazioni specifiche sull’attacco. Secondo la sua analisi, l’hack di Rodeo Finance viene definito “ForceInvestment<\/strong>“.<\/p>Leggi anche:<\/h3>
\n