Протокол кредитования DeFi Sturdy Finance пострадал от эксплойта, который вывел с платформы 442 ETH (стоимостью около $768 800).
На эксплойт обратили внимание такие фирмы по безопасности блокчейна, как PeckShield и BlockSec; команда Sturdy Finance признала факт взлома и приостановила активность на платформе DeFi на время расследования проблемы.
Протокол позволяет брать займы под токены поставщика ликвидности (LP) с таких бирж, как Curve и Balancer, в качестве залога. Децентрализованное приложение предлагает два рынка кредитования — Ethereum и привязанные к доллару стабильные монеты.
Член основной команды Sturdy Finance pgpsam отметил на канале Discord проекта, что «по нашим данным, рынок стабильных монет не пострадал. «
Мы в курсе сообщения об использовании протокола Sturdy. Все рынки были приостановлены; никакие дополнительные средства не подвергаются риску, и никаких действий пользователей в данный момент не требуется.
Мы будем делиться дополнительной информацией, как только она у нас появится.
— Sturdy (@SturdyFinance)12 июня 2023
Тем не менее, пока деятельность приостановлена, пользователи stablecoin и ETH не могут выводить средства из пулов Sturdy.
Pgpsam добавил: «Нашим приоритетом сейчас является понимание эксплойта/как его смягчить и общение с хакером».
Как произошел эксплойт?
По первоначальным данным, злоумышленник манипулировал ценовым оракулом пула обеспечения и выкачивал средства из Sturdy.
Команда BlockSec сообщила о вскрытии атаки в Twitter сегодня утром, отметив, что это была «типичная атака на реентерабельность балансировщика только для чтения».
Атака re-entrancy происходит, когда функция смарт-контракта взаимодействует с другим контрактом, и этот другой контракт обращается к первому контракту до того, как тот закончит свое выполнение.
В данном случае злоумышленник неоднократно вызывал пул B-stETH-STABLE до того, как были выполнены предыдущие транзакции, в результате чего ценовой оракул пула дал сбой и отразил трехкратное увеличение.
Злоумышленник использовал B-stETH-STABLE в качестве залога для получения займа на Sturdy. По мере роста его цены злоумышленник изымал залог из пула Sturdy. В этот момент реальная стоимость залога составляет одну треть от его завышенной суммы, что позволяет хакеру извлечь выгоду из разницы.
Для проведения атаки злоумышленник взял у Aave флэш-кредит в размере 50 000 wstETH и 60 000 WETH (стоимостью около 191 миллиона долларов).
PeckShield сообщил, что злоумышленники перевели украденные средства через Tornado Cash, Ethereum-микшер, который добавляет уровень конфиденциальности в транзакциях, скрывая связь между адресами отправителя и получателя.
Правительство США в прошлом году наложило санкции на Tornado Cash из-за его использования северокорейской хакерской группой Lazarus.
