Rho Market - Rekt



Un error de configuración de un oráculo se convierte en una ganancia de $7.5 millones para un bot MEV alerta.

Lo que comenzó como un simple paso en falso en la configuración del oráculo de Rho Market se convirtió en un día de pago para un bot MEV oportunista el 19 de julio, cuando rápidamente aprovechó la apertura dentro del protocolo construido en Scroll.

En el mundo de alto riesgo de DeFi, incluso el más mínimo error de cálculo puede llevar a pérdidas catastróficas.

Millones pueden desvanecerse en un abrir y cerrar de ojos.

En este Salvaje Oeste digital, los bots MEV son los nuevos pistoleros, sus algoritmos están preparados para desenfundar más rápido que cualquier protocolo que deje su bóveda desbloqueada.

Pero cuando el artista del desenfunde rápido guarda su arma y ofrece devolver el botín, ¿quién es realmente el forajido en esta frontera digital?

¿Sigue siendo un exploit si el atacante ofrece devolverlo todo?

Créditos: CJ the "Doughnut", ZachXBT, Scroll, Rho Markets, DefiLlama, Sudo, Miszke

Los oráculos son los ojos y oídos de los contratos inteligentes, proporcionando datos cruciales fuera de la cadena a los sistemas en cadena. Pero cuando estos adivinos digitales fallan, se desata el caos.

Según DeFiLlama, Rho Markets es un fork de Compound Finance y tenía aproximadamente $38 millones en activos poco antes del exploit.

Compound en sí estaba en el centro del pánico de la semana pasada por la ola de incidentes de secuestro de front-end en plataformas DeFi populares.

La configuración incorrecta del oráculo de Rho Market permitió a un bot MEV manipular los datos de precios, creando una oportunidad de arbitraje que drenó $7.5 millones del protocolo en cuestión de minutos.

Primero fue informado por CJ el “Doughnut”, quien notó que la plataforma se había quedado sin USDC y USDT.

CJ vinculó a la posible dirección del atacante, que mostró una ganancia de $7.5 millones en las últimas horas.

Rho Markets reconoció el comportamiento inusual y pausó la plataforma.

El incidente llevó a Scroll, la red L2 que alberga a RhoMarket, a detener temporalmente la cadena.

ZachXBT destacó que "El explotador tiene mucha exposición a exchanges centralizados, así que diría que hay una buena probabilidad de que esto se recupere y sean gray o white hat."

Zach no estaba muy lejos del objetivo, ya que compartió un mensaje en cadena poco después:

“Hola equipo RHO, nuestro bot MEV ha obtenido beneficios con la mala configuración de su oráculo de precios. Entendemos que los fondos pertenecen a los usuarios y estamos dispuestos a devolver todo. Pero primero nos gustaría que admitieran que no fue una exploit o un hackeo, sino una mala configuración de su parte. Además, por favor, indiquen qué van a hacer para evitar que vuelva a suceder.”

Cumplieron su palabra y los fondos fueron devueltos poco después.

Rho Markets confirmó que el problema fue resuelto, sin pérdida de fondos y actualmente están reasignando fondos de vuelta a los pools de préstamos.

En respuesta a los eventos recientes, Rho Markets ha esbozado el siguiente plan de tres pasos:

  • Identificar las cuentas que suministraron fondos durante el mal funcionamiento del oráculo.

  • Reponer los pools de USDC, USDT y wstETH para restaurar los saldos afectados.

  • Restablecer las funcionalidades de préstamo y transferencia mientras se adhieren a estrictos protocolos de seguridad.

Rho Markets fue auditado por Dedaub en mayo de este año.

La auditoría reconoció un problema de gravedad media (Sección M2), donde la implementación del oráculo del protocolo no verificaba suficientemente la puntualidad de los datos de precios de Chainlink. Esta omisión podría llevar al uso de precios desactualizados durante el tiempo de inactividad del oráculo, arriesgando estados inconsistentes del protocolo.

No hay noticias sobre si esto jugó un papel en el reciente exploit.

En un espacio donde la resistencia a la censura y la permisividad son más que palabras de moda, incidentes como estos nos obligan a enfrentar verdades incómodas sobre el estado actual de la infraestructura blockchain.

Mientras Rho Market esquivó una bala esta vez gracias a un operador de bot benevolente, ¿será el próximo white hat tan generoso?

El reciente fiasco de DeFi no solo expuso problemas de mala configuración del oráculo, sino que también reavivó el debate sobre la descentralización en las soluciones Layer 2.

Como el error de Rho Market llevó a Scroll a detener su cadena, Sudo señaló que los L2 que promocionan valores permisivos y resistentes a la censura están simplemente posando para atraer dinero de VC, haciendo que la verdadera descentralización de L1 Ethereum sea aún más atractiva.

Los operadores de L2 ahora enfrentan un dilema, censurar para salvar fondos y arriesgar acusaciones de centralización o mantenerse fieles a los ideales sin permisos a expensas de los usuarios.

Con secuenciadores y verificadores centralizados volviéndose comunes en L2s, las preocupaciones sobre la responsabilidad crecen a medida que los operadores potencialmente se convierten en puntos de falla centralizados vulnerables a presiones legales y regulatorias.

Mientras que las soluciones Layer 2 prometen escalabilidad y descentralización.

¿Estamos construyendo un futuro resistente a la censura o solo creando una versión más eficiente de los sistemas que pretendíamos reemplazar?


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.