Протоколът за DeFi кредитиране Sturdy Finance е бил засегнат от експлойт, който е източил 442 ETH (на стойност около 768 800 долара) от платформата.
Експлойтът беше подчертан от фирми за блокчейн сигурност като PeckShield и BlockSec; екипът на Sturdy Finance призна за хака и спря дейността на платформата DeFi, докато разследваше проблема.
Протоколът дава възможност за заемане срещу токени на доставчици на ликвидност (LP) от борси като Curve и Balancer като обезпечение. Децентрализираното приложение предлага два пазара на заеми – Етериум и стабилни монети, обвързани с долара.
Членът на основния екип на Sturdy Finance pgpsam отбеляза в канала Discord на проекта, че „от нашето разследване досега пазарът на стабилни монети не е засегнат.“
Съзнаваме за докладваната експлойт на протокола Sturdy. Всички пазари са спрени; не са изложени на риск допълнителни средства и не се изискват действия от страна на потребителите към този момент.
Ще споделим повече информация веднага щом разполагаме с нея.
– Sturdy (@SturdyFinance) June 12 2023
Въпреки това, докато дейността остава спряна, потребителите на stablecoin и ETH не могат да се изтеглят от пуловете на Sturdy.
Pgpsam добави: „Нашият приоритет в момента е разбирането на експлойта/как да го намалим и комуникацията с хакера“.
Как се е случил експлойтът?
Първоначалните доклади сочат, че атакуващият е манипулирал ценовия оракул на пул за обезпечения и е изтеглил средства от Sturdy.
Тази сутрин екипът на BlockSec съобщи в Twitter за доклада след атаката, като отбеляза, че това е била „типична атака на Балансьора с реентенция само за четене“.
Атаката на повторното връщане се случва, когато функция на интелигентен договор взаимодейства с друг договор и този друг договор се обръща обратно към първия договор, преди той да е завършил изпълнението си.
В този случай атакуващият многократно се е обаждал на пула B-stETH-STABLE, преди да бъдат изпълнени предишните транзакции, което е накарало ценовия оракул на пула да се повреди и да отрази трикратно увеличение.
Атакуващият е използвал B-stETH-STABLE като обезпечение, за да вземе заем в Sturdy. Тъй като цената му се е повишила, нападателят е изтеглил обезпечението от пула на Sturdy. В този момент действителната стойност на тяхното обезпечение е една трета от завишената му стойност, което позволява на хакера да се възползва от разликата.
Атакуващият е взел светкавичен заем от Aave в размер на 50 000 wstETH и 60 000 WETH (на стойност около 191 млн. долара), за да извърши атаката.
PeckShield съобщи, че експлоатиращите са прехвърлили откраднатите средства чрез Tornado Cash – миксер на Ethereum, който добавя ниво на поверителност при трансакциите, като прикрива връзката между адресите на изпращача и получателя.
Правителството на САЩ наложи санкции на Tornado Cash миналата година поради използването му от севернокорейската хакерска група Lazarus.