O protocolo de empréstimo
DeFi Sturdy Finance foi atingido por um exploit que drenou 442 ETH (no valor de cerca de $ 768,800) da plataforma.
O exploit foi destacado por empresas de segurança de blockchain como PeckShield e BlockSec; a equipe Sturdy Finance reconheceu o hack e pausou a atividade na plataforma DeFi enquanto investigava o problema.
O protocolo permite o empréstimo contra tokens de provedor de liquidez (LP) de bolsas como Curve e Balancer como garantia. O aplicativo descentralizado oferece dois mercados de empréstimo – Ethereum e stablecoins indexados ao dólar.
O membro da equipe principal do Sturdy Finance, pgpsam, observou no canal Discord do projeto que “de nossa investigação até agora, o mercado de stablecoin não foi afetado.”
Estamos cientes da exploração relatada do protocolo Sturdy. Todos os mercados foram interrompidos; nenhum fundo adicional está em risco e nenhuma ação do usuário é necessária neste momento.
Partilharemos mais informações assim que as tivermos.
– Sturdy (@SturdyFinance) 12 de junho de 2023
No entanto, enquanto a atividade permanece em pausa, os usuários de stablecoin e ETH não podem se retirar dos pools do Sturdy.
Pgpsam acrescentou: “Nossa prioridade agora é entender o exploit / como mitigá-lo e a comunicação com o hacker”.
Como é que a exploração aconteceu?
Os relatórios iniciais indicam que o invasor manipulou o oráculo de preços de um pool de garantias e desviou fundos da Sturdy.
A equipe BlockSec relatou o relatório postmortem do ataque no Twitter esta manhã, observando que era um ataque “típico de reentrada somente leitura do Balancer”.
Um ataque de reentrada acontece quando uma função de contrato inteligente interage com outro contrato, e esse outro contrato chama de volta para o primeiro contrato antes de terminar sua execução.
Neste caso, o atacante chamou repetidamente o pool B-stETH-STABLE antes de as transacções anteriores terem sido executadas, fazendo com que o oráculo de preços do pool funcionasse mal e reflectisse um aumento de três vezes.
O atacante tinha usado o B-stETH-STABLE como garantia para pedir um empréstimo na Sturdy. À medida que o seu preço aumentava, o atacante retirou as garantias da pool da Sturdy. Nesta altura, o valor real da sua garantia é um terço do seu montante inflacionado, permitindo ao hacker beneficiar da diferença.
O atacante tomou um empréstimo instantâneo da Aave de 50.000 WETH e 60.000 WETH (no valor de cerca de 191 milhões de dólares) para realizar o ataque.
A PeckShield informou que os exploradores movimentaram os fundos roubados através do Tornado Cash, um misturador Ethereum que adiciona uma camada de privacidade nas transacções, obscurecendo a ligação entre os endereços do remetente e do destinatário.
O governo dos EUA sancionou o Tornado Cash no ano passado devido ao seu uso pelo grupo de hackers norte-coreano Lazarus.
