11 miesięcy temu
Na protokół finansowy Sturdy Finance, został przeprowadzony atak na zabezpieczenia, przez co stracił on 442 jednostki ETH, o wartości niemal 800 000 dolarów.
Dziś, w poniedziałek 12 czerwca, firma zabezpieczeń blockchain, PeckShield, powiadomiła Sturdy Finance o transakcji, która wyglądała na manipulację cenową. Prawie godzinę później protokół DeFi poinformował, iż jest świadomy ataku i zareagował, zatrzymując wszystkie formy handlu. Zapewnił również swoich użytkowników, iż żadne dodatkowe fundusze nie są zagrożone.
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.
We will be sharing more information as soon as we have it.
Mimo szybkiej reakcji platformy DeFi, PeckShield potwierdził, iż atakujący przelał prawie 800 000 dolarów w ETH do Tornado Cash.
Jak wyglądał atak?
Firma zabezpieczeń blockchain, BlockSec, zwróciła uwagę, iż atak został przeprowadzony dzięki ataku “reentrancy”. Jest to powszechna metoda, jaką hakerzy wykorzystują do wyprowadzania środków z protokołów DeFi.
1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) June 12, 2023Ataki reentrancy, które często są wykorzystywane do wypłaty środków z protokołów DeFi, zostały użyte w ataku na Sturdy Finance. Ten rodzaj ataku wykorzystuje możliwość wielokrotnego wywołania tej samej funkcji w ramach pojedynczej transakcji, zanim pierwsze wywołanie funkcji zostanie zakończone. Atakujący był w stanie wypłacić więcej pieniędzy, niż było to legalnie dozwolone, wykorzystując tę lukę.
Następnie atakujący wykorzystał kontrolę nad wywołaniami funkcji, aby skorzystać z orakulum cenowego. Sturdy Finance korzystał z orakulum cenowego, które pochodziło z oddzielnego smart kontraktu „tylko do odczytu”. Był on odpowiedzialny za dokładne oszacowanie wartości rynkowej aktywów w puli płynności zarządzanej przez protokół Balancer. Atakujący jednak zdołał manipulować orakulum, co umożliwiło mu kradzież funduszy ze Sturdy Finance.
W międzyczasie oszuści przejęli kontrolę nad ośmioma kontami na Twitterze znanych członków społeczności kryptowalutowej i promowali scamy związane z kryptowalutami. Według śledczego blockchain, ZachXBT, oszuści ukradli prawie 1 milion dolarów w kryptowalutach po przejęciu popularnych kont. Między innymi znanego DJ-a Steve’a Aoki, założyciela Pudgy Penguins – Cole’a Villemaina, a choćby przeciwnika kryptowalut, Petera Schiffa.
W innych wiadomościach Departament Sprawiedliwości Stanów Zjednoczonych oskarżył niedawno dwóch mężczyzn, którzy są domniemanie zaangażowani w atak na giełdę Mt. Gox. Według departamentu, 43-letni Alexey Bilyuchenko i 29-letni Aleksandr Verner ukradli i uczestniczyli w praniu 647 000 Bitcoinów (BTC).
Niedawno byliśmy także świadkami innego ataku, tym razem na portfele zewnętrzne Atomic Wallet. Pisaliśmy o tym tutaj.
