Decoding Rodeo Finance Hack


Learn Time: 4 minutes


On the eleventh of July 2023, the Rodeo Finance on the Arbitrumchain was attacked. The assault was made attainable by a Worth Oracle Manipulation vulnerability. And round 472ETH  was stolen by the hackers from the exploit.

About Mission:

Rodeo is a DeFi protocol that permits customers to earn a yield on a various vary of managed and passive funding methods. To study extra about them, take a look at their documentation.

Vulnerability Evaluation & Affect:

On-Chain Particulars:

Attacker Handle:  0x2f3788F2396127061c46fC07BD0fcb91faAcE328

Sufferer Contract:  0xE9544Ee39821F72c4fc87A5588522230e340aa54

Assault Transaction: 0x98f1e234faac8b7f7ceaffe4e8e0581038678d95710b646db45ec3de47e6c3af

The Root Trigger: 

  • The attacker was in a position to power the platform to swap $USDC to $unshETH by the earn() operate with the unconfigured technique tackle.
  • The foundation reason behind this exploit is the unhealthy implementation of TWAP Oracle. It makes use of ETH to unshETH reserve ratio for worth.
  • Within the case of stableswap pool like this, the reserve ratio can go in the direction of any single facet.
    It will amplify the value of ETH from the oracle.
  • TWAP worth is calculated by averaging the final 4 cases of up to date worth the place every worth updation happens each 45 minutes. 
  • On this means, the contracts of Rodeo Finance will make the most of this defective worth.
  • Underneath regular circumstances, the value impression ought to have left a small quantity of output tokens, however that didn’t occur because the contract was compelled to imagine that the place is wholesome.
  • Ultimately, the contract checks whether or not the execution is legitimate or not 
  • Since attacker can management this technique, this test received bypassed 
  • Lastly, the attacker was in a position to arbitrage the unhealthy place by promoting ready unshETH again to the pool, taking the liquidity from the platform within the earlier steps.

Assault Course of:

  • Manipulate the TWAP oracle by sandwiching the ‘replace’.
  • Open a leveraged place by calling Investor.earn() operate and borrow $400k USDC
  • Swap the property into the underlying CamelotDEX pool.
  • Promote the ready unshETH again to the pool. 

Stream of Funds:

The exploiter has bridged the stolen funds from Arbitrum to Ethereum, swapped 285 ETH for unshETH and deposited them to Ankr: ETH2 Staking, and transferred 150 ETH to Twister Money.

Full decision picture right here.

Attacker’s Wallets: 

Here’s a snippet of the attacker’s pockets. Test the entire particulars right here.

After the Exploit

The Mission presently hasn’t acknowledged the incident.

Incident Timelines

11-07-2023 (07:45:25 AM + UTC) – A suspicious exercise was noticed on Rodeo Finance Contracts.

11-07-2023  (07:59:35 AM +UTC) – Exploiter swapped  285 unshETH .

11-07-2023 (08:13:59 AM +UTC) – Exploiter deposited 150  Ether to Twister.Money with a transaction price of 0.015 Ether

Worth Affect

The worth of the RDO token dropped from $0.2 to $0.08 instantly following the assault. It’s presently buying and selling at $0.1 as of the time of scripting this weblog. See right here.

How may they’ve prevented the Exploit?

The Exploit may have been prevented if Worth Oracle had been accurately carried out.

Oracle shouldn’t depend on the ratio of each tokens to calculate the ultimate worth.

Additionally, a number of oracles ought to be used for worth queries.

One of the best ways to boost platforms safety is by utilizing the service of a strong decentralized oracle akin to Chainlink or by aggregating many various worth feeds.

Web3 security- Want of the hour

Why QuillAudits For Web3 Safety? QuillAudits is well-equipped with instruments and experience to offer cybersecurity options, saving tens of millions in funds.

Need extra Such Safety Blogs & Experiences?

Join with QuillAudits on :

Linkedin | Twitter | Web site | E-newsletter | Discord | Telegram

Associate with QuillAudits :



Deixe um comentário

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.