アービトラム(Arbitrum)ベースの分散型金融(DeFi)プロトコル、ロデオファイナンス(Rodeo Finance)は7月11日に153万ドルの不正流出が発生した。その原因はコードの脆弱性を狙ったものであり、結果としてイーサ(ETH)で810ETH以上が失われた。
ブロックチェーン解析会社ペックシールドが共有したデータによれば、攻撃者は盗んだ資金をアービトラムからイーサリアムにブリッジし、285ETHをunshETHに交換した。その後、攻撃者はETHをステーキングに預けた。最終的に、攻撃者はよく利用されるミキサーサービス「トルネードキャッシュ」を使って盗んだETHを転送し、その取引の足跡を隠そうとした。
攻撃者は時間加重平均価格オラクルを操作した。このオラクルはDeFiプロトコルが特定の時間枠での資産の平均価格を計算し、市場の変動による価格変動を緩和するために使用される。
しかし、計算された資産の平均価格を人為的に歪めることで、悪用者がこれらのオラクルを操作する脆弱性が生じた。これにより、取引中にプロトコルを不正利用することが可能となってしまった。
まず、攻撃者は大量の資産を借り、その価格を人工的に操作して同じ資産を割安価格で購入する。その後、攻撃者は借りた資産を返して利益を得る。
攻撃者のウォレットアドレスはまだ374以上のETHを保持しており、Etherscanはこのアドレスをロデオの不正利用に関連付けてマークしている。DeFiプロトコルは合計で2000万ドルの価値をロックしていたが、不正流出後は500ドル以下に落ち込んだ。
また、この不正流出はロデオファイナンスのネイティブトークンの価格を急落させ、過去24時間で53%超下落した。
2023年だけで、アービトラムネットワークにおいて何らかの形での不正流出が21件記録され、その合計損失は2000万ドル以上にのぼる。最新の153万ドルの不正流出は、2023年のアービトラムで記録されたものの中で5番目に大きい。ロデオファイナンスは7月5日にもmintProtocolReserves関数の脆弱性により約8万9000ドルが不正流出した
翻訳・編集 コインテレグラフジャパン