El protocolo de préstamos DeFi Sturdy Finance se ha visto afectado por un exploit que ha drenado 442 ETH (por valor de unos 768.800 $) de la plataforma.
El exploit fue señalado por empresas de seguridad de blockchain como PeckShield y BlockSec; el equipo de Sturdy Finance reconoció el ataque y detuvo la actividad en la plataforma DeFi mientras investigaba el problema.
El protocolo permite obtener préstamos contra tokens de proveedores de liquidez (LP) de bolsas como Curve y Balancer como garantía. La aplicación descentralizada ofrece dos mercados de préstamo: Ethereum y stablecoins en dólares.
El miembro del equipo central de Sturdy Finance, pgpsam, señaló en el canal Discord del proyecto que «por lo que hemos investigado hasta ahora, el mercado de stablecoin no se ha visto afectado».
Somos conscientes del exploit reportado del protocolo Sturdy. Todos los mercados se han puesto en pausa; no hay fondos adicionales en riesgo y no se requieren acciones de los usuarios en este momento.
Compartiremos más información en cuanto la tengamos.
– Sturdy (@SturdyFinance) 12 de junio de 2023
Sin embargo, mientras la actividad permanezca en pausa, los usuarios de stablecoin y ETH no podrán retirarse de los pools de Sturdy.
Pgpsam añadió: «Nuestra prioridad ahora mismo es entender el exploit/cómo mitigarlo y la comunicación con el hacker.»
¿Cómo se produjo el exploit?
Los informes iniciales indican que el atacante manipuló el oráculo de precios de un pool de garantías y desvió fondos de Sturdy.
El equipo de BlockSec informó del informe postmortem del ataque en Twitter esta mañana, señalando que se trataba de un ataque de «reentrada de solo lectura típico de Balancer».
Un ataque de reentrada se produce cuando una función de contrato inteligente interactúa con otro contrato, y ese otro contrato vuelve a llamar al primer contrato antes de que haya terminado su ejecución.
En este caso, el atacante llamó repetidamente al pool B-stETH-STABLE antes de que se ejecutaran las transacciones anteriores, lo que provocó que el oráculo de precios del pool funcionara mal y reflejara un incremento del triple.
El atacante había utilizado B-stETH-STABLE como garantía para obtener préstamos en Sturdy. Al aumentar su precio, el atacante retiró la garantía del pool de Sturdy. En este punto, el valor real de su garantía es un tercio de su importe inflado, lo que permite al pirata informático beneficiarse de la diferencia.
El atacante pidió un préstamo flash a Aave de 50.000 wstETH y 60.000 WETH (por valor de unos 191 millones de dólares) para llevar a cabo el ataque.
PeckShield informó que los explotadores movieron los fondos robados a través de Tornado Cash, un mezclador de Ethereum que agrega una capa de privacidad en las transacciones al ocultar el vínculo entre las direcciones del remitente y el destinatario.
El gobierno de Estados Unidos sancionó Tornado Cash el año pasado debido a su uso por el grupo de piratas informáticos norcoreano Lazarus.
