💬 Протокол кредитования Sturdy Finance лишился 800 000 долларов в результате атаки на систему безопасности

Протокол кредитования Sturdy Finance лишился 800 000 долларов в результате атаки на систему безопасности

Sturdy Finance, протокол децентрализованного кредитования, сегодня стал жертвой атаки безопасности, которая привела к потере 442 эфиров или около 800 000 долларов США. Неизвестный злоумышленник воспользовался уязвимостью повторного входа, которая позже облегчила манипулирование ошибочным ценовым оракулом, тем самым позволив им выкачивать средства.

В приложениях децентрализованного финансирования (DeFi) ценовые оракулы играют ключевую роль, поскольку они предоставляют данные о реальных ценах. Однако они также представляют собой потенциальную цель для хакеров, которые могут использовать их для нарушения безопасности.

Атака на Sturdy Finance была инициирована повторной атакой — методом, обычно используемым для незаконного вывода средств из протоколов DeFi. Этот тип атаки использует возможность многократного вызова функции в рамках одной транзакции до завершения исходного вызова функции. Это, в свою очередь, позволяет злоумышленнику вывести больше средств, чем он имеет законное право.

После того, как злоумышленник установил возможность манипулировать вызовами функций, он приступил к эксплуатации ценового оракула. Ценовой оракул Sturdy Finance, полученный из отдельного смарт-контракта «только для чтения», подвергся манипуляциям. Этот оракул был разработан для определения точной рыночной стоимости активов в пуле ликвидности, которым управляет команда Стерди на децентрализованной бирже Balancer, что облегчает торговлю поставленным эфиром (stETH). Однако использование оракула позволило злоумышленнику вывести средства из Sturdy.

BlockSec, охранная фирма, заявила: «Основная причина связана с повторным входом типичного Balancer только для чтения, в то время как цена B-stETH-STABLE была изменена».

Прочные паузы на рынках

Sturdy Finance отреагировала на атаку, приостановив работу всех своих рынков, чтобы предотвратить дальнейшие потенциальные убытки, заверив своих пользователей, что никакие другие средства не находятся в опасности в результате взлома.

«Все рынки приостановлены; никакие дополнительные средства не находятся под угрозой, и в настоящее время никаких действий пользователя не требуется», — сказали в команде. «Мы поделимся дополнительной информацией, как только она у нас появится». После атаки данные в сети показывают, что злоумышленник использовал микшер Tornado Cash, чтобы скрыть активность.

В 2022 году Sturdy Finance привлекла 3 миллиона долларов в ходе серии раундов для создания платформы беспроцентного заимствования и кредитования. Финансирование возглавила Pantera, а также в нем приняли участие Y Combinator, Opportunity Fund SoftBank и KuCoin Ventures.