Sturdy Finance Uitleenprotocol: Verlies van $800.000 door Beveiligingsaanval

Sturdy Finance, een gedecentraliseerd leenprotocol, werd vandaag het doelwit van een beveiligingsaanval die resulteerde in een verlies van 442 ether, of ongeveer 800.000 dollar.

Een nog onbekende aanvaller maakte gebruik van een reentrancy-kwetsbaarheid, waardoor ze het defecte prijsorakel konden manipuleren en zo geld konden stelen.

Kwetsbaarheid prijsorakels: Sturdy Finance-aanval

Koersorakels zijn van cruciaal belang in gedecentraliseerde financiële toepassingen, omdat ze zorgen voor real-world koersgegevens. Helaas vormen ze ook een potentieel doelwit voor hackers die misbruik willen maken van deze systemen.

De aanval op Sturdy Finance werd geïnitieerd door een reentrancy-aanval, een methode die vaak wordt gebruikt om op illegale wijze geld te onttrekken aan DeFi-protocollen. Bij deze aanval wordt gebruik gemaakt van de mogelijkheid om een functie herhaaldelijk aan te roepen binnen een enkele transactie voordat de oorspronkelijke functieaanroep is voltooid. Dit stelt de aanvaller in staat om meer geld op te nemen dan waar hij rechtmatig recht op heeft.

Nadat de aanvaller had ontdekt dat hij de functie-aanroepen kon manipuleren, maakte hij misbruik van het prijsorakel. Het prijsorakel van Sturdy Finance, dat afkomstig was van een apart “alleen-lezen” smart contract, werd gemanipuleerd.

Dit orakel was ontworpen om de nauwkeurige marktwaarde van activa in een liquiditeitspool te bepalen die werd beheerd door het team van Sturdy Finance op de gedecentraliseerde Balancer-uitwisseling, waardoor de handel in ether met inzet mogelijk werd gemaakt. Helaas stelde de exploitatie van het orakel de aanvaller in staat om geld weg te sluizen van Sturdy Finance, volgens beveiligingsbedrijf BlockSec.

BlockSec verklaarde: “De hoofdoorzaak van de aanval lag bij de typische read-only reentrancy van Balancer, terwijl de prijs van B-stETH-STABLE werd gemanipuleerd.”

Sturdy Finance pauzeert markten na aanval

Als reactie op de aanval heeft Sturdy Finance alle markten gepauzeerd om verdere potentiële verliezen te voorkomen. Het team verzekerde gebruikers dat er geen andere fondsen gevaar liepen als gevolg van deze inbreuk.

“Het handelen op alle markten is opgeschort; er zijn geen extra fondsen in gevaar en gebruikers hoeven op dit moment geen actie te ondernemen”, aldus het team. “Zodra we meer informatie hebben, zullen we deze delen.”

Uit on-chain gegevens blijkt dat de aanvaller na de aanval de Tornado Cash mixer heeft gebruikt om zijn activiteiten te verhullen.

In 2022 heeft Sturdy Finance $3 miljoen opgehaald in een reeks financieringsrondes om een rentevrij platform voor lenen en uitlenen te ontwikkelen. De financiering werd geleid door Pantera en omvatte ook deelname van Y Combinator, SoftBank’s Opportunity Fund en KuCoin Ventures.