DeFi lending protocol Sturdy Finance byl zasažen exploitem, který z platformy odčerpal 442 ETH (v hodnotě asi 768 800 dolarů).
Na exploit upozornily blockchainové bezpečnostní firmy jako PeckShield a BlockSec; tým Sturdy Finance hack uznal a pozastavil činnost na platformě DeFi, protože problém vyšetřuje.
Protokol umožňuje půjčovat si proti tokenům poskytovatele likvidity (LP) z burz, jako jsou Curve a Balancer, jako zástavu. Decentralizovaná aplikace nabízí dva trhy pro půjčování – Ethereum a stablecoiny vázané na dolar.
Člen jádra týmu Sturdy Finance pgpsam na kanálu Discord projektu poznamenal, že „z našeho dosavadního šetření vyplývá, že trh se stablecoiny není ovlivněn.“
Jsme si vědomi nahlášeného zneužití protokolu Sturdy. Všechny trhy byly pozastaveny; žádné další finanční prostředky nejsou ohroženy a v tuto chvíli nejsou vyžadována žádná opatření ze strany uživatelů.
Další informace budeme sdílet, jakmile je budeme mít k dispozici.
– Sturdy (@SturdyFinance) 12. června 2023
Dokud je však činnost pozastavena, uživatelé stablecoinů a ETH nemohou vybírat z poolů Sturdy.
Pgpsam dodal: „Naší prioritou je nyní pochopení exploitu/ způsobu jeho zmírnění a komunikace s hackerem.“
Jak k exploitu došlo?
První zprávy naznačují, že útočník manipuloval s cenovým orákulem kolaterálového poolu a odčerpával prostředky ze Sturdy.
Tým BlockSec dnes ráno na Twitteru oznámil zprávu o postmortem útoku s tím, že se jednalo o „typický útok na reentranci Balanceru pouze pro čtení“.
K útoku typu re-entrancy dochází, když funkce inteligentního kontraktu interaguje s jiným kontraktem a tento jiný kontrakt volá zpět prvnímu kontraktu dříve, než dokončí jeho provádění.
V tomto případě útočník opakovaně volal pool B-stETH-STABLE před provedením předchozích transakcí, což způsobilo, že cenové orákulum poolu nefungovalo správně a odráželo trojnásobné zvýšení.
Útočník použil B-stETH-STABLE jako kolaterál k půjčce na Sturdy. Když se jeho cena zvýšila, útočník stáhl kolaterál z fondu Sturdy. V tomto okamžiku je skutečná hodnota jeho kolaterálu třetinová oproti jeho nadsazené hodnotě, což hackerovi umožňuje těžit z rozdílu.
Útočník si na provedení útoku vzal od společnosti Aave bleskovou půjčku ve výši 50 000 wstETH a 60 000 WETH (v hodnotě přibližně 191 milionů dolarů).
PeckShield uvedl, že útočníci přesunuli ukradené prostředky prostřednictvím Tornado Cash, směšovače Etherea, který přidává vrstvu soukromí při transakcích tím, že zakrývá spojení mezi adresami odesílatele a příjemce.
Americká vláda na Tornado Cash loni uvalila sankce kvůli jeho používání severokorejskou hackerskou skupinou Lazarus.
