Прочный финансовый протокол DeFi эксплуатируется для получения 442 ETH на сумму почти $800K

Sturdy Finance - проект DeFi, обещающий 10-кратное кредитное плечо на поставленные активы, - подвергся атаке на свой ценовой оракул.

Хотя похищенная сумма (на момент написания статьи она составляла около $800 тыс.) меркнет по сравнению с другими, более громкими атаками, такими как атака на пользователей Atomic Wallet на прошлой неделе, это также гарантирует, что отмыть прибыль будет не так сложно, как это делают киберпреступники, нажившиеся на гораздо больших суммах.

Манипулирование ценами

Атака на Sturdy Finance была осуществлена с помощью reentrancy exploit - распространенного метода атаки на проекты DeFi, который подразумевает многократный вызов функции в смарт-контракте до завершения первоначального вызова.

Для того чтобы атаковать Sturdy Finance, хакер сначала обнаружил уязвимость ценового оракула протокола - части экосистемы Sturdy, которая определяет текущую стоимость активов, используемых в торговле и займах, - к эксплойтам реентерабельности. Как только уязвимость была установлена, флэш-кредит от Aave обеспечил ликвидность, необходимую для атаки.

Это позволяет злоумышленнику вывести больше средств, чем ему должен позволить смарт-контракт. В данном случае цена Эфира (stETH) манипулировалась три раза подряд, чтобы позволить злоумышленнику снять больше средств, чем ему положено по кредиту, погасить первоначальный кредит и обналичить дополнительные средства. Затем этот процесс повторялся пять раз, каждый раз с использованием разных смарт-контрактов.

2/ Атака tx (https://t.co/XdAhTpE6aS) состоит из следующих шагов атаки. pic.Twitter.com/EvZhYpWPDO

- BlockSec (@BlockSecTeam) 12 июня 2023 г.

Эксплойт привел к потере 442 ETH для Sturdy, которые уже находятся на пути к Tornado Cash.

Вскрытие продолжается

Команда безопасности Sturdy подтвердила, что эксплойт был замечен, и их операции были приостановлены на данный момент для проведения надлежащего вскрытия. Команда также утверждает, что никакие другие средства в настоящее время не находятся под угрозой кражи.

"Мы знаем о сообщении об использовании протокола Sturdy. Все рынки были приостановлены; никакие дополнительные средства не подвергаются риску, и никаких действий от пользователей на данный момент не требуется. Мы будем делиться дополнительной информацией, как только она у нас появится".

Сообщество Sturdy по понятным причинам расстроено этой новостью, некоторые пользователи выражают недоверие тому, что атаки, характерные для эпохи бума биткоинов 2017 года, происходят и сегодня.