- O atacante passou mais de dois dias a criar 423 carteiras e pools de tokens falsos antes da exploração.
- A falha na proteção de slippage contou o valor do mesmo token duas vezes em etapas de troca sequenciais.
- A Tether congelou 3,29 milhões de dólares em USDT diretamente na carteira do atacante assim que os esforços de recuperação começaram.
A Rhea Finance publicou uma análise post-mortem detalhada esta semana após perder 18,4 milhões de dólares numa exploração que os investigadores descrevem como uma combinação de dois vetores de ataque DeFi conhecidos montados em algo novo. Revelaram que o ataque não aconteceu em minutos. Levou dois dias de preparação.
A Preparação
Entre 13 e 15 de abril, o atacante construiu discretamente a infraestrutura necessária para o roubo:
- Criou uma carteira alvo financiada através de transferências entre cadeias
- Distribuiu fundos por 423 carteiras intermediárias únicas em rápida sucessão automatizada
- Implementou contratos de tokens falsos criados especificamente que não expunham metadados padrão
- Criou oito novas pools de negociação na Ref Finance emparelhando tokens falsos contra USDC, USDT e wNEAR com rácios de preços artificialmente controlados
- Construiu um router de swap conectando estas pools falsas como vetor de ataque
Quando a exploração foi lançada a 16 de abril, toda a infraestrutura estava instalada e à espera.
Como o Truque de Slippage Realmente Funcionou
A elegância técnica do ataque é o que o torna notável. A funcionalidade de negociação com margem da Rhea Finance inclui proteção de slippage que soma os resultados esperados em todas as etapas de troca para verificar se os utilizadores recebem um valor justo. O atacante encontrou uma falha na forma como esse cálculo funciona em etapas sequenciais.
A exploração em termos simples:
- Passo 1: 1.000 USDC convertem-se em 999 AttackerToken com um resultado mínimo de 999
- Passo 2: 999 AttackerToken convertem-se de volta para 1 USDC com um resultado mínimo de 1
- A verificação de slippage vê: 999 mais 1 igual a 1.000. Parece bem.
- Realidade: Apenas 1 USDC retornou ao protocolo. Os 999 USDC ficam na pool do atacante.
A verificação contou AttackerToken como o resultado final sem reconhecer que foi imediatamente gasto como entrada para o passo seguinte. Os fundos emprestados foram canalizados para as pools falsas do atacante. As posições valiam imediatamente muito menos do que a sua dívida, desencadeando liquidações forçadas que drenaram a pool de reserva.
O precedente mais próximo é a exploração da KyberSwap de 2023, que custou 54,7 milhões de dólares usando o mesmo princípio de contar o mesmo valor duas vezes em operações sequenciais.
Onde as Coisas Estão
Aproximadamente 9 milhões de dólares dos 18,4 milhões já foram recuperados ou congelados, incluindo 3,29 milhões de dólares em USDT congelados pela Tether diretamente na carteira do atacante. O contrato de empréstimo foi pausado enquanto os esforços de recuperação continuam.
A equipa Near Intents sugeriu que o atacante foi identificado e pode até ter uma presença pública no X. Um rastreio formal foi aberto com exchanges centralizadas para identificar o proprietário da conta.
A análise post-mortem da Rhea Finance inclui a cronologia completa do ataque, hashes de transação e a linha exata de código vulnerável. Está a ser descrita como uma das divulgações de exploração mais detalhadas na história da DeFi.
Relacionado: Rhea Finance Atingida por Exploração de 7,6 Milhões de Dólares Após Ataque de Pool de Tokens Falsos
Aviso Legal: As informações apresentadas neste artigo são apenas para fins informativos e educacionais. O artigo não constitui aconselhamento financeiro ou aconselhamento de qualquer tipo. A Coin Edition não é responsável por quaisquer perdas incorridas como resultado da utilização de conteúdo, produtos ou serviços mencionados. Os leitores são aconselhados a ter precaução antes de tomar qualquer ação relacionada com a empresa.
Fonte: https://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals/
