A Sturdy Finance, um projeto DeFi que promete alavancagem de até 10 vezes sobre ativos em stake, foi explorada por um ataque de sucesso em seu oráculo de preços.
Embora a quantia roubada (no valor de aproximadamente US$ 800.000 no momento em que este livro foi escrito) empalideça em comparação com outros ataques mais importantes, como o dos usuários da Atomic Wallet na semana passada, também garante que a lavagem de lucros não seja tão difícil. como é para cibercriminosos que conseguiram uma renda muito maior.
Manipulação de preços
O ataque ao Sturdy Finance foi realizado por meio de explorações de reentrada, um método comum de atacar projetos DeFi que envolve chamar repetidamente uma função em um contrato inteligente antes que a chamada original seja concluída.
Para atacar a Sturdy Finance, o hacker primeiro estabeleceu a vulnerabilidade do oráculo de precificação do protocolo – a parte do ecossistema Sturdy que determina o valor presente dos ativos para uso em negociações e empréstimos – para explorações de reentrada. Uma vez estabelecida a vulnerabilidade, um empréstimo rápido da AAVE forneceu a liquidez necessária para o ataque.
Isso permite que o malfeitor retire mais fundos do que o contrato inteligente deveria permitir. Nesse caso, o preço do Ether apostado (stETH) foi manipulado três vezes seguidas para permitir que o invasor sacasse mais do que o empréstimo deveria permitir, pagasse o empréstimo original e sacasse os fundos extras. Esse processo foi repetido em cinco ocasiões, usando um contrato inteligente diferente a cada vez.
2/ O ataque tx ( https://t.co/XdAhTpE6aS ) consiste nas seguintes etapas de ataque. pic.twitter.com/EvZhYpWPDO
— BlockSec (@BlockSecTeam) 12 de junho de 2023
A exploração resultou em uma perda de 442 ETH para Sturdy, um resultado já a caminho de Tornado Cash.
Autópsia em andamento
A equipe de segurança de Sturdy confirmou que o exploit foi notado e suas operações foram temporariamente interrompidas para realizar uma autópsia adequada. A equipe também disse que nenhum outro fundo está atualmente em risco de roubo.
“Estamos cientes da exploração relatada do Sturdy Protocol. Todos os mercados foram pausados; nenhum fundo adicional está em risco e nenhuma ação é necessária de sua parte. Compartilharemos mais informações assim que as tivermos".
A comunidade de Sturdy está compreensivelmente chateada com a notícia, com alguns usuários proclamando incrédulos que os ataques típicos da era do boom do shitcoin de 2017 ainda estão acontecendo hoje.
O post Sturdy Finance DeFi Protocol alavancado por 442 ETH no valor de quase $ 800.000 apareceu primeiro no CryptoPotato .