DeFi uitleenprotocol Sturdy Finance is getroffen door een exploit die 442 ETH (met een waarde van ongeveer $768.800) van het platform heeft weggezogen.
De exploit werd onder de aandacht gebracht door blockchain beveiligingsbedrijven zoals PeckShield en BlockSec; het Sturdy Finance team erkende de hack en pauzeerde de activiteit op het DeFi platform terwijl ze het probleem onderzochten.
Het protocol maakt het mogelijk om te lenen tegen liquidity provider (LP) tokens van exchanges zoals Curve en Balancer als onderpand. De gedecentraliseerde applicatie biedt twee leenmarkten: Ethereum en dollar-pegged stablecoins.
Kernteamlid pgpsam van Sturdy Finance merkte in het Discord-kanaal van het project op dat “uit ons onderzoek tot nu toe is gebleken dat de stablecoin-markt niet is beïnvloed.”
We zijn ons bewust van de gerapporteerde uitbuiting van het Sturdy-protocol. Alle markten zijn gepauzeerd; er lopen geen extra fondsen gevaar en gebruikers hoeven op dit moment niets te doen.
We zullen meer informatie delen zodra we die hebben.
– Sturdy (@SturdyFinance) Juni 12, 2023
Terwijl de activiteit gepauzeerd blijft, kunnen stablecoin- en ETH-gebruikers zich echter niet terugtrekken uit de Sturdy-pools.
Pgpsam voegde eraan toe: “Onze prioriteit op dit moment is het begrijpen van de exploit/hoe deze te beperken en communicatie met de hacker.”
Hoe gebeurde de exploit?
Volgens de eerste berichten manipuleerde de aanvaller het prijsraster van een onderpandpool en hevelde zo geld over van Sturdy.
Het BlockSec team rapporteerde het postmortem rapport van de aanval vanmorgen op Twitter en merkte op dat het een “typische Balancer’s read-only reentrancy” aanval was.
Een re-entrancy aanval vindt plaats wanneer een smart contract functie interageert met een ander contract en dat andere contract terugroept naar het eerste contract voordat het klaar is met zijn uitvoering.
In dit geval riep de aanvaller herhaaldelijk de B-stETH-STABLE pool aan voordat eerdere transacties waren uitgevoerd, waardoor het prijsorakel van de pool slecht functioneerde en een drievoudige verhoging weergaf.
De aanvaller had B-stETH-STABLE als onderpand gebruikt om te lenen op Sturdy. Toen de prijs steeg, onttrok de aanvaller het onderpand uit de pool van Sturdy. Op dit moment is de werkelijke waarde van het onderpand een derde van het opgeblazen bedrag, waardoor de hacker kan profiteren van het verschil.
De aanvaller nam een flitslening aan van Aave van 50.000 wstETH en 60.000 WETH (ter waarde van ongeveer 191 miljoen dollar) om de aanval uit te voeren.
PeckShield meldde dat de aanvallers het gestolen geld verplaatsten via Tornado Cash, een Ethereum mixer die een laag privacy toevoegt aan transacties door de link tussen het adres van de verzender en de ontvanger te verbergen.
De Amerikaanse overheid sanctioneerde Tornado Cash vorig jaar vanwege het gebruik ervan door de Noord-Koreaanse hackersgroep Lazarus.
