Das DeFi-Lending-Protokoll Sturdy Finance wurde von einem Exploit getroffen, der 442 ETH (im Wert von rund 768.800 $) von der Plattform abzog.
Die Sicherheitslücke wurde von Blockchain-Sicherheitsunternehmen wie PeckShield und BlockSec aufgedeckt. Das Team von Sturdy Finance bestätigte den Hack und pausierte die Aktivitäten auf der DeFi-Plattform, während es das Problem untersuchte.
Das Protokoll ermöglicht die Kreditaufnahme gegen Liquiditätsanbieter (LP)-Token von Börsen wie Curve und Balancer als Sicherheiten. Die dezentralisierte Anwendung bietet zwei Kreditmärkte – Ethereum und Stablecoins, die an den Dollar gekoppelt sind.
pgpsam, Mitglied des Kernteams von Sturdy Finance, merkte im Discord-Kanal des Projekts an, dass „nach unseren bisherigen Untersuchungen der Stablecoin-Markt nicht betroffen ist“.
Wir sind uns der gemeldeten Ausnutzung des Sturdy-Protokolls bewusst. Alle Märkte wurden pausiert; es sind keine weiteren Gelder gefährdet und es sind derzeit keine Benutzeraktionen erforderlich.
Wir werden weitere Informationen weitergeben, sobald wir sie haben.
– Sturdy (@SturdyFinance) Juni 12, 2023
Während die Aktivität jedoch pausiert, können Sturdycoin- und ETH-Nutzer nicht aus den Pools von Sturdy abheben.
Pgpsam fügte hinzu: „Unsere Priorität ist es jetzt, den Exploit zu verstehen und zu wissen, wie er entschärft werden kann, sowie mit dem Hacker zu kommunizieren.“
Wie kam es zu der Sicherheitslücke?
Ersten Berichten zufolge hat der Angreifer das Preisorakel eines Sicherheitenpools manipuliert und Gelder von Sturdy abgezweigt.
Das BlockSec-Team berichtete heute Morgen auf Twitter über den Postmortem-Bericht des Angriffs und stellte fest, dass es sich um einen „typischen Balancer’s read-only reentrancy“-Angriff handelte.
Ein Reentrancy-Angriff findet statt, wenn eine Smart Contract-Funktion mit einem anderen Vertrag interagiert und dieser andere Vertrag den ersten Vertrag zurückruft, bevor er seine Ausführung beendet hat.
In diesem Fall rief der Angreifer den B-stETH-STABLE-Pool wiederholt auf, bevor vorherige Transaktionen ausgeführt wurden, was dazu führte, dass das Preisorakel des Pools nicht richtig funktionierte und einen dreifachen Anstieg anzeigte.
Der Angreifer hatte B-stETH-STABLE als Sicherheit verwendet, um sich bei Sturdy zu verschulden. Als der Preis stieg, zog der Angreifer die Sicherheiten aus dem Pool von Sturdy ab. Zu diesem Zeitpunkt beträgt der tatsächliche Wert der Sicherheiten ein Drittel des überhöhten Betrags, so dass der Hacker von der Differenz profitieren kann.
Der Angreifer nahm ein Flash-Darlehen von Aave in Höhe von 50.000 WstETH und 60.000 WETH (im Wert von rund 191 Millionen US-Dollar) auf, um den Angriff durchzuführen.
PeckShield berichtet, dass die Angreifer die gestohlenen Gelder über Tornado Cash verschoben haben, einen Ethereum-Mixer, der eine Ebene der Privatsphäre bei Transaktionen hinzufügt, indem er die Verbindung zwischen der Absender- und der Empfängeradresse verschleiert.
Die US-Regierung hat Tornado Cash im vergangenen Jahr wegen seiner Verwendung durch die nordkoreanische Hackergruppe Lazarus sanktioniert.
