Rhea Finance ay nasakop ng $7.6M na pag-atake sa pamamagitan ng mga pekeng token at manipulasyon ng oracle

Kinabiglaan si Rhea Finance ng isang apektadong exploit, ayon sa blockchain security firm na CertiK, na kumukuha ng hindi bababa sa $7.6 milyon mula sa protocol.

Ipinagbawal ang insidente noong 16 ng Abril, na may mga maagang natuklasan na nagmumungkahi na ang attacker ay nagmanipula ng mga liquidity pool gamit ang mga pekeng token contract. Sa oras na ito, ang koponan ng Rhea Finance ay hindi pa naglabas ng pampublikong tugon.

Ayon sa CertiK, nilikha ng attacker ang mga maliwanag na token contract at idinagdag ang likwididad sa mga bago pang formed na pool. Malamang na nagmaliw ang gawain na ito sa oracle at validation mechanisms ng protocol, na nagbigay-daan sa attacker na i-extract ang mga pondo.

Karaniwang nakasalalay ang ganitong mga pag-atake sa pagpapakalat ng mga feed ng presyo o mga signal ng likwididad. Ito ay nagpapahintulot sa mga attacker na pagsamantalan ang mga pagkakaiba sa pagitan ng nakikita at tunay na halaga ng mga asset sa loob ng protokolo.

Habang ang mga puna sa teknikal ay hindi pa patotohanan, ang nareport na paraan ay nagtuturo sa isang uri ng manipulasyon ng oracle, isang paulit-ulit na vulnerable sa mga sistema ng decentralized finance.

Ipinagkakaloob ng CertiK na humigit-kumulang $7.6 milyon ang natanggal hanggang sa ngayon, bagaman maaaring magbago ang bilang habang lumalabas ang karagdagang datos.

Ang datos mula sa DefiLlama ay nagpapakita na ang Rhea Finance ay mayroon ng halos $128 milyon sa kabuuang halagang nakaputol [TVL], na nagpapahiwatig na ang exploit ay kumakatawan sa isang makabuluhang bahagi ng likwididad ng platform.

Nakasunod ang paggalaw ng mga pondo sa-chain, na may nag-atake na nagrute ng mga ari-arian sa pamamagitan ng maraming address, isang karaniwang taktika na ginagamit upang palihis ang mga trail ng transaksyon pagkatapos ng mga paglabag.

Hindi nagbigay ng pampublikong komento ang Rhea Finance tungkol sa insidente, kaya ang mga detalye tungkol sa paglalabas, posibleng mga hakbang sa pagkontrol, at mga pagsisikap sa pagpapalit ay hindi malinaw.

Ang kakulangan sa agad na komunikasyon ay naglalagay ng tekno sa pagsubaybay ng third-party at sa on-chain analysis habang umuunlad ang sitwasyon.

Ang pagpapahintulot ay nagdaragdag sa tumataas na listahan ng mga serangan na nagtatarget sa mga protokolo ng DeFi sa pamamagitan ng manipulasyon ng likwididad at mga mekanismo ng presyo. Bukod dito, ito ay nagpapakita ng patuloy na mga panganib sa mga sistema na nakasalalay sa panlabas na mga input ng data.

• Ibinigay ng Rhea Finance na nasiraan ng $7.6 milyon, gamit ng mga attacker ang mga pekeng token at liquidity pools upang manipulahin ang mga mekanismo ng oracle.
• Hindi pa sumagot ang tim, kaya ang buong saklaw ng pag-atake at mga posibleng pagsisikap sa pagbabalik ay hindi pa malinaw habang patuloy ang imbestigasyon.