Децентрализованный финансовый (DeFi) протокол Sturdy Finance потерял 442 Ether (ETH), стоимость которых на момент написания статьи составляла почти $800 000, в результате атаки злоумышленников. Злоумышленник использовал уязвимость, которая в итоге манипулировала неисправным ценовым оракулом, что позволило ему выкачать средства из протокола.
12 июня компания PeckShield, занимающаяся безопасностью блокчейна, предупредила Sturdy Finance и сообщила о транзакции, которая, похоже, была связана с манипулированием ценами. Почти час спустя протокол DeFi сообщил, что он знает об эксплойте, и отреагировал, приостановив работу всех своих рынков и заверив пользователей, что никакие дополнительные средства не подвергаются риску.
Нам известно об использовании протокола Sturdy. Все рынки были приостановлены; никакие дополнительные средства не подвергаются риску, и никаких действий от пользователей в данный момент не требуется.
- Sturdy (@SturdyFinance) 12 июня 2023 г.
Мы будем делиться дополнительной информацией, как только она у нас появится.
Несмотря на оперативную реакцию со стороны кредитной платформы DeFi, компания PeckShield подтвердила, что злоумышленник смог перевести почти 800 000 долларов в ETH на криптомикшер Tornado Cash. Компания по безопасности также отметила, что "первопричиной" эксплойта стал неисправный ценовой оракул.
Кроме того, компания по безопасности блокчейна BlockSec подчеркнула, что взлом был осуществлен с помощью атаки reentrancy, которая является распространенным методом, используемым хакерами для вывода средств из протоколов DeFi.
1/ @SturdyFinance подвергся атаке, потери составляют ~442 ETH. Первопричина - типичный реентеранс балансиров только для чтения, а ценой B-stETH-STABLE манипулировали! pic.Twitter.com/5l9mVfhpQN
- BlockSec (@BlockSecTeam) 12 июня 2023 г.
С помощью этого метода хакеры используют возможность многократного вызова функции в одной транзакции до завершения первоначального вызова функции. Благодаря этому хакеры могут вывести больше средств, чем должно быть.
Тем временем мошенники смогли взять под контроль восемь аккаунтов в Twitter известных членов криптосообщества и продвигать криптомошенничество. По данным блокчейн-детектива ZachXBT, мошенники украли почти 1 млн долларов в криптовалюте после того, как взяли под контроль аккаунты известного диджея Стива Аоки, основателя Pudgy Penguins Коула Виллемейна и даже криптоненавистника Питера Шиффа.
Другие новости: Министерство юстиции США недавно предъявило обвинения двум мужчинам, которые предположительно причастны к взлому Mt. Gox. По данным департамента, 43-летний Алексей Билюченко и 29-летний Александр Вернер предположительно украли и вступили в сговор с целью отмывания 647 000 биткоинов (BTC).
Журнал: $3,4 млрд биткоина в банке из-под попкорна - история хакера Silk Road
Источник