Протокол DeFi Sturdy Finance использует кредитное плечо для 442 ETH на сумму почти 800 000 долларов США.

Sturdy Finance, проект DeFi, который обещает до 10-кратного кредитного плеча на поставленные на карту активы, был использован в атаке на его ценовой оракул.

Хотя украденная сумма (на момент написания этой статьи на сумму около 800 000 долларов США) бледнеет по сравнению с другими, более громкими атаками, такими как атака на пользователей Atomic Wallet на прошлой неделе, она также гарантирует, что отмывание прибыли не будет таким сложным. как и для киберпреступников, которые сошли с рук с гораздо большим доходом.

Манипулирование ценами

Атака на Sturdy Finance была осуществлена ​​с помощью эксплойтов с повторным входом — распространенного метода атаки на проекты DeFi, который включает в себя повторный вызов функции в смарт-контракте до завершения исходного вызова.

Чтобы атаковать Sturdy Finance, хакер сначала установил уязвимость ценового оракула протокола — части экосистемы Sturdy, которая определяет текущую стоимость активов для использования в торговле и кредитовании — для повторного использования эксплойтов. Как только уязвимость была обнаружена, быстрый кредит от AAVE обеспечил ликвидность, необходимую для атаки.

Это позволяет злоумышленнику вывести больше средств, чем должен позволять смарт-контракт. В этом случае цена поставленного эфира (stETH) манипулировалась три раза подряд, чтобы позволить злоумышленнику снять больше, чем должен был позволить кредит, погасить первоначальный кредит и обналичить дополнительные средства. Затем этот процесс повторялся пять раз, каждый раз с использованием другого смарт-контракта.

2/ Атака tx ( https://t.co/XdAhTpE6aS ) состоит из следующих шагов атаки. pic.twitter.com/EvZhYpWPDO

— BlockSec (@BlockSecTeam) 12 июня 2023 г.

Эксплойт привел к потере 442 ETH для Sturdy, результат уже на подходе для Tornado Cash.

Вскрытие в процессе

Служба безопасности Sturdy подтвердила, что эксплойт был замечен, и их операции были временно остановлены для проведения надлежащего вскрытия. Команда также заявила , что никакие другие средства в настоящее время не подвержены риску кражи.

«Нам известно об обнаруженной уязвимости Sturdy Protocol. Все рынки приостановлены; никакие дополнительные средства не находятся под угрозой, и в настоящее время с вашей стороны не требуется никаких действий. Мы будем делиться дополнительной информацией, как только она будет у нас».

Сообщество Sturdy по понятным причинам расстроено новостями, а некоторые пользователи с недоверием заявляют, что атаки, типичные для эпохи бума шиткоинов 2017 года, продолжаются и сегодня.

Сообщение Sturdy Finance DeFi Protocol с кредитным плечом для 442 ETH стоимостью почти 800 000 долларов впервые появилось на CryptoPotato .