El protocolo de préstamos DeFi Sturdy Finance se ha visto afectado por un exploit que drenó 442 ETH (por un valor de alrededor de $768,800) de la plataforma.

El exploit fue destacado por firmas de seguridad blockchain como PeckShield y BlockSec; el equipo de Sturdy Finance reconoció el hackeo y detuvo la actividad en la plataforma DeFi mientras investigaban el problema.

El protocolo permite pedir prestado contra tokens de proveedores de liquidez (LP) de intercambios como Curve y Balancer como garantía. La aplicación descentralizada ofrece dos mercados de préstamos: Ethereum y monedas estables vinculadas al dólar.

El miembro del equipo central de Sturdy Finance, pgpsam, señaló en el canal Discord del proyecto que «de nuestra investigación hasta ahora, el mercado de stablecoin no se ve afectado».

We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.

We will be sharing more information as soon as we have it.

— Sturdy 🧱 (@SturdyFinance) June 12, 2023

Sin embargo, mientras la actividad permanezca en pausa, los usuarios de stablecoin y ETH no pueden retirarse de los grupos de Sturdy.

Pgpsam agregó: «Nuestra prioridad en este momento es comprender el exploit/cómo mitigarlo y la comunicación con el hacker».

¿Cómo ocurrió el exploit?

Los informes iniciales indican que el atacante manipuló el oráculo de precios de un grupo de garantías y desvió fondos de Sturdy.

El equipo de BlockSec informó el informe postmortem del ataque en Twitter esta mañana, señalando que fue un ataque de «reentrada típica de solo lectura de Balancer».

Un ataque de reentrada ocurre cuando una función de contrato inteligente interactúa con otro contrato, y ese otro contrato vuelve al primer contrato antes de que haya terminado su ejecución.

En este caso, el atacante llamó repetidamente al grupo B-stETH-STABLE antes de que se ejecutaran las transacciones anteriores, lo que provocó que el oráculo de precios del grupo funcionara mal y reflejara un aumento de tres veces.

El atacante había utilizado B-stETH-STABLE como garantía para pedir prestado a Sturdy. A medida que su precio aumentó, el atacante retiró la garantía del grupo de Sturdy. En este punto, el valor real de su garantía es un tercio de su cantidad inflada, lo que permite al hacker beneficiarse de la diferencia.

El atacante tomó un préstamo flash de Aave de 50,000 wstETH y 60,000 WETH (por un valor de alrededor de $191 millones) para llevar a cabo el ataque.

PeckShield informó que los explotadores movieron los fondos robados a través de Tornado Cash, un mezclador de Ethereum que agrega una capa de privacidad en las transacciones al ocultar el vínculo entre las direcciones del remitente y del destinatario.

El gobierno de Estados Unidos sancionó a Tornado Cash el año pasado debido a su uso por parte del grupo de piratería norcoreano Lazarus.

Pagina Original:

DeFi Lending Protocol Sturdy Finance Hit By Exploit, Over $750K Drained