Il protocollo di prestito DeFi Sturdy Finance è stato colpito da un exploit che ha prosciugato 442 ETH (per un valore di circa 768.800 dollari) dalla piattaforma.
L’exploit è stato evidenziato da società di sicurezza blockchain come PeckShield e BlockSec; il team di Sturdy Finance ha riconosciuto l’hack e ha sospeso l’attività sulla piattaforma DeFi per indagare sul problema.
Il protocollo consente di prendere in prestito token di fornitori di liquidità (LP) da borse come Curve e Balancer come garanzia. L’applicazione decentralizzata offre due mercati per i prestiti: Ethereum e le monete stabilizzate con un dollaro.
Il membro del core team di Sturdy Finance, pgpsam, ha dichiarato nel canale Discord del progetto che “dalle nostre indagini finora il mercato delle stablecoin non è stato toccato”.
Siamo consapevoli dell’exploit segnalato del protocollo Sturdy. Tutti i mercati sono stati messi in pausa; non sono a rischio ulteriori fondi e non sono necessarie azioni da parte degli utenti in questo momento.
Condivideremo ulteriori informazioni non appena ne saremo in possesso.
– Sturdy (@SturdyFinance) 12 giugno 2023
Tuttavia, mentre l’attività rimane in pausa, gli utenti di stablecoin ed ETH non possono prelevare dai pool di Sturdy.
Pgpsam ha aggiunto: “La nostra priorità al momento è capire l’exploit/come mitigarlo e comunicare con l’hacker”.
Come è avvenuto l’exploit?
Le prime notizie indicano che l’aggressore ha manipolato l’oracolo dei prezzi di un pool di garanzie e ha sottratto fondi a Sturdy.
Il team di BlockSec ha riportato il resoconto post-mortem dell’attacco su Twitter questa mattina, notando che si trattava di un “tipico attacco di reentrancy in sola lettura del Balancer”.
Un attacco di rientranza si verifica quando una funzione di uno smart contract interagisce con un altro contratto e quest’ultimo richiama il primo contratto prima che abbia terminato la sua esecuzione.
In questo caso, l’aggressore ha ripetutamente chiamato il pool B-stETH-STABLE prima che venissero eseguite le transazioni precedenti, causando il malfunzionamento dell’oracolo dei prezzi del pool e un aumento di tre volte.
L’aggressore aveva usato B-stETH-STABLE come garanzia per prendere in prestito su Sturdy. Poiché il suo prezzo è aumentato, l’aggressore ha ritirato il collaterale dal pool di Sturdy. A questo punto, il valore effettivo del collaterale è un terzo del suo valore gonfiato, consentendo all’hacker di beneficiare della differenza.
L’aggressore ha ottenuto da Aave un prestito lampo di 50.000 wstETH e 60.000 WETH (per un valore di circa 191 milioni di dollari) per condurre l’attacco.
PeckShield ha riferito che gli sfruttatori hanno spostato i fondi rubati tramite Tornado Cash, un mixer di Ethereum che aggiunge un livello di privacy nelle transazioni oscurando il collegamento tra gli indirizzi del mittente e del destinatario.
Il governo statunitense ha sanzionato Tornado Cash lo scorso anno a causa del suo utilizzo da parte del gruppo di hacker nordcoreano Lazarus.
