DeFi借贷协议Sturdy Finance被一个漏洞击中,从平台上抽走了442个ETH(价值约768,800美元)。
PeckShield和BlockSec等区块链安全公司强调了这一漏洞;Sturdy Finance团队承认了这一黑客行为,并在调查这一问题时暂停了DeFi平台的活动。
该协议能够以Curve和Balancer等交易所的流动性提供者(LP)代币作为抵押品进行借贷。这个去中心化的应用程序提供两个借贷市场–以太坊和与美元挂钩的稳定币。
Sturdy Finance核心团队成员pgpsam在项目的Discord频道中指出,”从我们迄今为止的调查来看,稳定币市场没有受到影响。”
我们知道报告中提到的对Sturdy协议的利用。所有市场都已暂停;目前没有额外的资金风险,也不需要用户采取行动。
我们将尽快分享更多信息。
– Sturdy (@SturdyFinance) June 12, 2023
然而,在活动仍然暂停的时候,稳定币和ETH用户不能从Sturdy的资金池中提款。
Pgpsam补充说:”我们现在的首要任务是了解这个漏洞/如何缓解它,并与黑客沟通。”
漏洞是如何发生的?
初步报告显示,攻击者操纵了一个抵押品池的价格谕令,并从Sturdy抽走了资金。
BlockSec团队今天早上在Twitter上报告了这次攻击的事后报告,指出这是一次 “典型的Balancer的只读重入 “攻击。
当一个智能合约函数与另一个合约互动,而另一个合约在执行完毕之前回调到第一个合约时,就会发生重入攻击。
在这个案例中,攻击者在以前的交易执行之前反复调用B-stETH-STABLE池,导致该池的价格神谕出现故障,反映出三倍的增长。
攻击者用B-stETH-STABLE作为抵押品,在Sturdy上借款。随着其价格的上升,攻击者从Sturdy的资金池中提取了抵押品。此时,其抵押品的实际价值是其膨胀量的三分之一,允许黑客从差异中获益。
攻击者从Aave那里获得了5万WSTETH和6万WETH(价值约1.91亿美元)的闪电贷款来进行攻击。
PeckShield报告称,攻击者通过Tornado Cash转移被盗资金,Tornado Cash是一种以太坊混合器,通过掩盖发送方和接收方地址之间的联系,在交易中增加了一层隐私。
美国政府去年制裁了龙卷风现金,因为朝鲜黑客组织Lazarus使用了它。