Лендинговый DeFi-протокол Sturdy Finance стал жертвой атаки, которая привела к потере ~442 ETH (примерно $770 000 на момент написания).
1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN— BlockSec (@BlockSecTeam) June 12, 2023
По данным специалистов BlockSec, неизвестный воспользовался ошибкой повторного входа на Balancer и манипулированием ценовым оракулом для изменения цены B-stETH-STABLE.
Согласно экспертам, последовательность действий хакера была следующей:
Получил флеш-кредит на Aave в сумме 50 000 wstETH и 60 000 WETH.Внес 1100 ETH в пул для выпуска 1023 steSRV.Добавил 50 000 wstETH и 57 000 WETH в пул B-stETH-STABLE на Balancer для выпуска 109 517 токенов.Депонировал в качестве обеспечения в Sturdy 1000 steSRV и 233 B-stETH-STABLE.Заимствовал под этот залог 513 WETH.Через манипуляцию оракулом завысил цену B-stETH-STABLE настолько, чтобы 1000 steSRV уже не были нужны в качестве обеспечения, и вывел активы.После возврата цены B-stETH-STABLE к нормальным значениям ликвидировал долговую позицию на 236 WETH, отозвав 233 B-stETH-STABLE.Злоумышленник повторил шаги 3-7 с пятью разными контрактами.Погасил флеш-кредит на Aave и зафиксировал прибыль от атаки.
Команда Sturdy Finance подтвердила инцидент и пообещала поделится информацией позже.
«Мы знаем об обнаруженной уязвимости протокола. Все рынки приостановлены, в настоящее время нет дополнительного риска для средств, никаких действий от пользователей не требуется», — заявили разработчики.
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.We will be sharing more information as soon as we have it.— Sturdy 🧱 (@SturdyFinance) June 12, 2023
Некоторые пользователи в комментариях сообщили, что не могут вывести средства из протокола.
Ончейн-данные показывают, что атаковавший Sturdy Finance отправил выведенные средства в сервис микширования Tornado Cash.
https://forklog.com/cryptorium/chto-takoe-tornado-cash-i-kak-on-rabotaet
Напомним, 20 мая неизвестный захватил контроль над Ethereum-миксером. Через день он неожиданно внес на рассмотрение ДАО предложение, реализация которого откатывала внесенные изменения и возвращала управление протокола держателям токена TORN.
Предложение поддержали 100% принявших участие в голосовании и неизвестный выполнил обещание, вернув контроль ДАО.
