Na protokół finansowy Sturdy Finance, został przeprowadzony atak na zabezpieczenia, przez co stracił on 442 jednostki ETH, o wartości niemal 800 000 dolarów.
Dziś, w poniedziałek 12 czerwca, firma zabezpieczeń blockchain, PeckShield, powiadomiła Sturdy Finance o transakcji, która wyglądała na manipulację cenową. Prawie godzinę później protokół DeFi poinformował, iż jest świadomy ataku i zareagował, zatrzymując wszystkie formy handlu. Zapewnił również swoich użytkowników, iż żadne dodatkowe fundusze nie są zagrożone.
Mimo szybkiej reakcji platformy DeFi, PeckShield potwierdził, iż atakujący przelał prawie 800 000 dolarów w ETH do Tornado Cash.
Jak wyglądał atak?
Firma zabezpieczeń blockchain, BlockSec, zwróciła uwagę, iż atak został przeprowadzony dzięki ataku “reentrancy”. Jest to powszechna metoda, jaką hakerzy wykorzystują do wyprowadzania środków z protokołów DeFi.
Ataki reentrancy, które często są wykorzystywane do wypłaty środków z protokołów DeFi, zostały użyte w ataku na Sturdy Finance. Ten rodzaj ataku wykorzystuje możliwość wielokrotnego wywołania tej samej funkcji w ramach pojedynczej transakcji, zanim pierwsze wywołanie funkcji zostanie zakończone. Atakujący był w stanie wypłacić więcej pieniędzy, niż było to legalnie dozwolone, wykorzystując tę lukę.
Następnie atakujący wykorzystał kontrolę nad wywołaniami funkcji, aby skorzystać z orakulum cenowego. Sturdy Finance korzystał z orakulum cenowego, które pochodziło z oddzielnego smart kontraktu „tylko do odczytu”. Był on odpowiedzialny za dokładne oszacowanie wartości rynkowej aktywów w puli płynności zarządzanej przez protokół Balancer. Atakujący jednak zdołał manipulować orakulum, co umożliwiło mu kradzież funduszy ze Sturdy Finance.
W międzyczasie oszuści przejęli kontrolę nad ośmioma kontami na Twitterze znanych członków społeczności kryptowalutowej i promowali scamy związane z kryptowalutami. Według śledczego blockchain, ZachXBT, oszuści ukradli prawie 1 milion dolarów w kryptowalutach po przejęciu popularnych kont. Między innymi znanego DJ-a Steve’a Aoki, założyciela Pudgy Penguins – Cole’a Villemaina, a choćby przeciwnika kryptowalut, Petera Schiffa.
W innych wiadomościach Departament Sprawiedliwości Stanów Zjednoczonych oskarżył niedawno dwóch mężczyzn, którzy są domniemanie zaangażowani w atak na giełdę Mt. Gox. Według departamentu, 43-letni Alexey Bilyuchenko i 29-letni Aleksandr Verner ukradli i uczestniczyli w praniu 647 000 Bitcoinów (BTC).
Niedawno byliśmy także świadkami innego ataku, tym razem na portfele zewnętrzne Atomic Wallet. Pisaliśmy o tym tutaj.