Sturdy Finance, un proyecto de DeFi que promete un apalancamiento de hasta 10 veces en los activos en juego, ha sido explotado por un ataque de golpe y fuga en su oráculo de precios.
Si bien la cantidad robada (con un valor aproximado de $ 800,000 al momento de escribir este artículo) palidece en comparación con otros ataques de más alto perfil como el de los usuarios de Atomic Wallet la semana pasada, también asegura que el lavado de ganancias no será tan difícil. como lo es para los ciberdelincuentes que se han salido con la suya con ingresos mucho mayores.
manipulación de precios
El ataque a Sturdy Finance se llevó a cabo a través de exploits de reingreso, un método común para atacar proyectos DeFi que implica llamar repetidamente a una función en un contrato inteligente antes de que se complete la llamada original.
Para atacar a Sturdy Finance, el hacker primero estableció la vulnerabilidad del oráculo de precios del protocolo, la parte del ecosistema de Sturdy que determina el valor actual de los activos para su uso en el comercio y los préstamos, para reingresar a las vulnerabilidades. Una vez que se estableció la vulnerabilidad, un préstamo rápido de AAVE proporcionó la liquidez necesaria para el ataque.
Esto permite que el mal actor retire más fondos de los que debería permitir el contrato inteligente. En este caso, el precio del Ether apostado (stETH) se manipuló tres veces seguidas para permitir que el atacante retirara más de lo que se suponía que permitía el préstamo, saldara el préstamo original y retirara los fondos adicionales. Luego, este proceso se repitió en cinco ocasiones, utilizando un contrato inteligente diferente cada vez.
2/ El ataque tx ( https://t.co/XdAhTpE6aS ) consta de los siguientes pasos de ataque. pic.twitter.com/EvZhYpWPDO
– BlockSec (@BlockSecTeam) 12 de junio de 2023
El exploit resultó en una pérdida de 442 ETH para Sturdy, un resultado que ya estaba en camino para Tornado Cash.
Autopsia en curso
El equipo de seguridad de Sturdy confirmó que se notó el exploit y que sus operaciones se detuvieron temporalmente para realizar una autopsia adecuada. El equipo también dijo que ningún otro fondo está actualmente en riesgo de robo.
“Somos conscientes del exploit Sturdy Protocol informado. Todos los mercados han sido pausados; no hay fondos adicionales en riesgo y actualmente no se requiere ninguna acción de su parte. Compartiremos más información a medida que la tengamos".
La comunidad de Sturdy está comprensiblemente molesta por la noticia, y algunos usuarios proclaman con incredulidad que los ataques típicos de la era del auge de las monedas de mierda de 2017 todavía continúan hoy.
El post Sturdy Finance DeFi Protocol apalancado por 442 ETH con un valor de casi $ 800,000 apareció primero en CryptoPotato .