Sturdy Finance, un protocollo di prestito decentralizzato, ha subito una significativa violazione della sicurezza oggi, con una perdita di 442 ether, pari a circa $ 800.000. L'attacco è stato effettuato da un individuo sconosciuto che ha sfruttato una vulnerabilità di rientro all'interno del sistema, consentendo loro di manipolare un oracolo dei prezzi difettoso e sottrarre fondi.
Nelle applicazioni di finanza decentralizzata (DeFi) come Sturdy Finance, gli oracoli dei prezzi svolgono un ruolo cruciale fornendo dati sui prezzi del mondo reale. Tuttavia, possono anche fungere da obiettivo principale per gli hacker che cercano di sfruttare le vulnerabilità e compromettere la sicurezza della piattaforma.
L'attacco a Sturdy Finance è iniziato con un attacco di rientro, un metodo comunemente impiegato per prelevare in modo fraudolento fondi dai protocolli DeFi . Questo tipo di attacco sfrutta la possibilità di chiamare ripetutamente una funzione all'interno di una singola transazione prima che la chiamata alla funzione originale sia completata. Sfruttando questa scappatoia, l'aggressore è stato in grado di prelevare più fondi di quanti ne avesse legittimamente diritto.
Violazione della sicurezza di Robust Finance
Una volta che l'attaccante ha ottenuto il controllo delle chiamate di funzione, ha proceduto a sfruttare l'oracolo dei prezzi. Sturdy Finance si è affidata a un contratto intelligente "di sola lettura" separato per derivare il suo oracolo dei prezzi, che era responsabile della determinazione accurata del valore di mercato delle attività in un pool di liquidità gestito dal protocollo sull'exchange decentralizzato Balancer. Tuttavia, l'attaccante ha manipolato con successo l'oracolo, consentendo loro di drenare fondi da Sturdy Finance.
BlockSec, una società di sicurezza, ha identificato la causa principale della violazione nella tipica vulnerabilità di rientro nel sistema di Balancer, combinata con la manipolazione del prezzo di B-stETH-STABLE.
In risposta all'attacco , Sturdy Finance ha agito immediatamente sospendendo tutti i suoi mercati per prevenire ulteriori potenziali perdite. Il team ha assicurato agli utenti che non erano a rischio fondi aggiuntivi e che non era richiesta alcuna azione immediata da parte degli utenti. Si sono impegnati a fornire ulteriori informazioni non appena saranno disponibili.
Dopo l'attacco, i dati on-chain hanno rivelato che l'aggressore ha utilizzato il mixer Tornado Cash per offuscare le proprie attività. Questo mixer è uno strumento utilizzato per migliorare la privacy e rendere difficile tracciare le transazioni sulla blockchain.
L'incidente evidenzia le sfide e i rischi in corso associati alla finanza decentralizzata e l'importanza di solide misure di sicurezza. La rapida risposta di Sturdy Finance nel sospendere i mercati dimostra il suo impegno a proteggere i fondi degli utenti e mitigare le potenziali perdite. Man mano che l'indagine si svolge, si spera di ottenere ulteriori approfondimenti per prevenire attacchi simili in futuro e rafforzare la sicurezza generale dei protocolli di prestito decentralizzati.