Sturdy Finance, un progetto DeFi che promette una leva fino a 10 volte sugli asset in stake, è stato sfruttato da un attacco mordi e fuggi al suo oracolo dei prezzi.
Sebbene l'importo rubato (del valore di circa $ 800.000 al momento della stesura di questo articolo) impallidisca rispetto ad altri attacchi di più alto profilo come quello agli utenti di Atomic Wallet proprio la scorsa settimana, garantisce anche che il riciclaggio dei profitti non sarà quasi tanto difficile quanto lo è per i criminali informatici che se la sono cavata con introiti molto maggiori.
Manipolazione dei prezzi
L'attacco a Sturdy Finance è stato effettuato tramite exploit di rientro, un metodo comune per attaccare i progetti DeFi che comporta la chiamata ripetuta di una funzione in uno smart contract prima che la chiamata originale sia completata.
Per attaccare Sturdy Finance, l'hacker ha prima stabilito la vulnerabilità dell'oracolo dei prezzi del protocollo – la parte dell'ecosistema di Sturdy che determina il valore attuale degli asset da utilizzare nel trading e nei prestiti – agli exploit di rientro. Una volta stabilita la vulnerabilità, un prestito flash di AAVE ha fornito la liquidità necessaria per l'attacco.
Ciò consente al cattivo attore di prelevare più fondi di quanto il contratto intelligente dovrebbe consentirgli. In questo caso, il prezzo dello staked Ether (stETH) è stato manipolato tre volte di seguito per consentire al malintenzionato di prelevare più di quanto il prestito avrebbe dovuto consentirgli, estinguere il prestito originale e incassare i fondi extra. Questo processo è stato poi ripetuto in cinque occasioni, utilizzando ogni volta uno smart contract diverso.
2/ L'attacco tx ( https://t.co/XdAhTpE6aS ) consiste nelle seguenti fasi di attacco. pic.twitter.com/EvZhYpWPDO
— BlockSec (@BlockSecTeam) 12 giugno 2023
L'exploit ha comportato una perdita di 442 ETH per Sturdy, un risultato già in arrivo per Tornado Cash.
Autopsia in corso
Il team di sicurezza di Sturdy ha confermato che l'exploit è stato notato e le loro operazioni sono state momentaneamente sospese per condurre un'adeguata autopsia. Il team ha anche affermato che nessun altro fondo è attualmente a rischio di furto.
“Siamo a conoscenza dell'exploit segnalato del protocollo Sturdy. Tutti i mercati sono stati messi in pausa; non sono a rischio fondi aggiuntivi e al momento non è richiesta alcuna azione da parte dell'utente. Condivideremo ulteriori informazioni non appena le avremo".
La comunità di Sturdy è comprensibilmente turbata dalla notizia, con alcuni utenti che proclamano increduli che gli attacchi tipici dell'era del boom di shitcoin del 2017 siano ancora in corso oggi.
Il post Protocollo DeFi Sturdy Finance sfruttato per 442 ETH del valore di quasi $ 800.000 è apparso per primo su CryptoPotato .