Le protocole de prêt DeFi Sturdy Finance a été touché par un exploit qui a drainé 442 ETH (d’une valeur d’environ 768 800 $) de la plateforme.
L’exploit a été mis en évidence par des sociétés de sécurité blockchain telles que PeckShield et BlockSec ; l’équipe de Sturdy Finance a reconnu le piratage et a mis en pause l’activité sur la plateforme DeFi pendant qu’elle enquêtait sur le problème.
Le protocole permet d’emprunter contre des jetons de fournisseurs de liquidités (LP) sur des bourses comme Curve et Balancer en tant que garantie. L’application décentralisée offre deux marchés de prêt : l’Ethereum et les stablecoins indexés sur le dollar.
Le membre de l’équipe centrale de Sturdy Finance, pgpsam, a indiqué sur le canal Discord du projet que « d’après notre enquête, le marché des stablecoins n’est pas affecté. «
Nous sommes au courant de l’exploitation signalée du protocole Sturdy. Tous les marchés ont été mis en pause ; aucun fonds supplémentaire n’est en danger et aucune action de la part des utilisateurs n’est requise pour le moment.
Nous partagerons plus d’informations dès que nous les aurons.
– Sturdy (@SturdyFinance) Le 12 juin 2023
Cependant, tant que l’activité reste en pause, les utilisateurs de stablecoins et d’ETH ne peuvent pas se retirer des pools de Sturdy.
Pgpsam a ajouté : « Notre priorité actuelle est de comprendre l’exploit/comment l’atténuer et de communiquer avec le pirate. »
Comment l’exploit s’est-il produit ?
Les premiers rapports indiquent que le pirate a manipulé l’oracle des prix d’un pool de garanties et a détourné les fonds de Sturdy.
L’équipe BlockSec a publié le rapport post-mortem de l’attaque sur Twitter ce matin, indiquant qu’il s’agissait d’une attaque de « réentrance typique en lecture seule de l’équilibreur ».
Une attaque par réentrance se produit lorsqu’une fonction de contrat intelligent interagit avec un autre contrat, et que cet autre contrat rappelle le premier contrat avant qu’il n’ait terminé son exécution.
Dans ce cas, l’attaquant a appelé à plusieurs reprises le pool B-stETH-STABLE avant que les transactions précédentes n’aient été exécutées, ce qui a entraîné un dysfonctionnement de l’oracle des prix du pool, qui a été multiplié par trois.
L’auteur de l’attaque avait utilisé B-stETH-STABLE comme garantie pour emprunter sur Sturdy. Lorsque le prix a augmenté, l’attaquant a retiré le collatéral du pool de Sturdy. À ce stade, la valeur réelle de la garantie représente un tiers du montant gonflé, ce qui permet au pirate de bénéficier de la différence.
Le pirate a obtenu d’Aave un prêt éclair de 50 000 WETH et 60 000 WETH (d’une valeur d’environ 191 millions de dollars) pour mener l’attaque.
PeckShield a rapporté que les exploiteurs ont déplacé les fonds volés via Tornado Cash, un mélangeur Ethereum qui ajoute une couche de confidentialité dans les transactions en obscurcissant le lien entre les adresses de l’expéditeur et du destinataire.
Le gouvernement américain a sanctionné Tornado Cash l’année dernière en raison de son utilisation par le groupe de pirates nord-coréen Lazarus.
