Protokół pożyczkowy
DeFi Sturdy Finance został zaatakowany przez exploit, który usunął 442 ETH (o wartości około 768 800 USD) z platformy.
Na exploit zwróciły uwagę firmy zajmujące się bezpieczeństwem blockchain, takie jak PeckShield i BlockSec; zespół Sturdy Finance potwierdził włamanie i wstrzymał aktywność na platformie DeFi, badając tę kwestię.
Protokół umożliwia zaciąganie pożyczek pod zastaw tokenów dostawcy płynności (LP) z giełd takich jak Curve i Balancer. Zdecentralizowana aplikacja oferuje dwa rynki pożyczek – Ethereum i stablecoiny powiązane z dolarem.
Członek głównego zespołu Sturdy Finance, pgpsam, zauważył na kanale Discord projektu, że „z naszych dotychczasowych badań wynika, że rynek stablecoinów pozostaje nienaruszony”.
Jesteśmy świadomi zgłoszonego exploita protokołu Sturdy. Wszystkie rynki zostały wstrzymane; żadne dodatkowe środki nie są zagrożone i żadne działania użytkownika nie są obecnie wymagane.
Będziemy udostępniać więcej informacji, gdy tylko je otrzymamy.
– Sturdy (@SturdyFinance) June 12, 2023
Jednak dopóki aktywność pozostaje wstrzymana, użytkownicy stablecoinów i ETH nie mogą wypłacać środków z pul Sturdy.
Pgpsam dodał: „Naszym priorytetem jest teraz zrozumienie exploita / jak go złagodzić i komunikacja z hakerem”.
Jak doszło do exploita?
Wstępne doniesienia wskazują, że atakujący manipulował wyrocznią cenową puli zabezpieczeń i wysysał fundusze ze Sturdy.
Zespół BlockSec zgłosił dziś rano raport z sekcji zwłok ataku na Twitterze, zauważając, że był to „typowy atak reentrancy tylko do odczytu Balancera”.
Atak reentrancy ma miejsce, gdy funkcja inteligentnego kontraktu wchodzi w interakcję z innym kontraktem, a ten inny kontrakt oddzwania do pierwszego kontraktu przed zakończeniem jego wykonywania.
W tym przypadku atakujący wielokrotnie wywoływał pulę B-stETH-STABLE przed wykonaniem poprzednich transakcji, powodując nieprawidłowe działanie wyroczni cenowej puli i odzwierciedlając trzykrotny wzrost.
Atakujący użył B-stETH-STABLE jako zabezpieczenia pożyczki w Sturdy. Gdy jego cena wzrosła, atakujący wycofał zabezpieczenie z puli Sturdy. W tym momencie rzeczywista wartość zabezpieczenia wynosi jedną trzecią jego zawyżonej kwoty, co pozwala hakerowi skorzystać z różnicy.
Atakujący zaciągnął błyskawiczną pożyczkę od Aave w wysokości 50 000 WETH i 60 000 WETH (o wartości około 191 milionów dolarów), aby przeprowadzić atak.
PeckShield poinformował, że exploity przeniosły skradzione fundusze za pośrednictwem Tornado Cash, miksera Ethereum, który dodaje warstwę prywatności w transakcjach, zaciemniając połączenie między adresami nadawcy i odbiorcy.
Rząd USA objął Tornado Cash sankcjami w zeszłym roku ze względu na jego wykorzystanie przez północnokoreańską grupę hakerską Lazarus.
