Sturdy Finance, een gedecentraliseerd leenprotocol, werd vandaag het doelwit van een beveiligingsaanval die resulteerde in een verlies van 442 ether, of ongeveer 800.000 dollar.
Een nog onbekende aanvaller maakte gebruik van een reentrancy-kwetsbaarheid, waardoor ze het defecte prijsorakel konden manipuleren en zo geld konden stelen.
Koersorakels zijn van cruciaal belang in gedecentraliseerde financiële toepassingen, omdat ze zorgen voor real-world koersgegevens. Helaas vormen ze ook een potentieel doelwit voor hackers die misbruik willen maken van deze systemen.
De aanval op Sturdy Finance werd geïnitieerd door een reentrancy-aanval, een methode die vaak wordt gebruikt om op illegale wijze geld te onttrekken aan DeFi-protocollen. Bij deze aanval wordt gebruik gemaakt van de mogelijkheid om een functie herhaaldelijk aan te roepen binnen een enkele transactie voordat de oorspronkelijke functieaanroep is voltooid. Dit stelt de aanvaller in staat om meer geld op te nemen dan waar hij rechtmatig recht op heeft.
Nadat de aanvaller had ontdekt dat hij de functie-aanroepen kon manipuleren, maakte hij misbruik van het prijsorakel. Het prijsorakel van Sturdy Finance, dat afkomstig was van een apart “alleen-lezen” smart contract, werd gemanipuleerd.
Dit orakel was ontworpen om de nauwkeurige marktwaarde van activa in een liquiditeitspool te bepalen die werd beheerd door het team van Sturdy Finance op de gedecentraliseerde Balancer-uitwisseling, waardoor de handel in ether met inzet mogelijk werd gemaakt. Helaas stelde de exploitatie van het orakel de aanvaller in staat om geld weg te sluizen van Sturdy Finance, volgens beveiligingsbedrijf BlockSec.
BlockSec verklaarde: “De hoofdoorzaak van de aanval lag bij de typische read-only reentrancy van Balancer, terwijl de prijs van B-stETH-STABLE werd gemanipuleerd.”
Als reactie op de aanval heeft Sturdy Finance alle markten gepauzeerd om verdere potentiële verliezen te voorkomen. Het team verzekerde gebruikers dat er geen andere fondsen gevaar liepen als gevolg van deze inbreuk.
“Het handelen op alle markten is opgeschort; er zijn geen extra fondsen in gevaar en gebruikers hoeven op dit moment geen actie te ondernemen”, aldus het team. “Zodra we meer informatie hebben, zullen we deze delen.”
Uit on-chain gegevens blijkt dat de aanvaller na de aanval de Tornado Cash mixer heeft gebruikt om zijn activiteiten te verhullen.
In 2022 heeft Sturdy Finance $3 miljoen opgehaald in een reeks financieringsrondes om een rentevrij platform voor lenen en uitlenen te ontwikkelen. De financiering werd geleid door Pantera en omvatte ook deelname van Y Combinator, SoftBank’s Opportunity Fund en KuCoin Ventures.
De Amerikaanse justitie wil dat Do Kwon, oprichter van Terraform Labs, twaalf jaar de cel in gaat voor zijn rol in een van de grootste crypto-schandalen ooit.
Europol en nationale diensten ontmantelen marketingnetwerk achter crypto-fraude van 700 miljoen euro. Deepfakes en nepadvertenties ingezet.
De officiële website van de Pepe-memecoin is getroffen door een hack waarbij bezoekers automatisch worden doorgestuurd naar een schadelijke link.
In Brazilië waarschuwen cybersecurityexperts voor een nieuwe malwarecampagne die zich razendsnel verspreidt via WhatsApp.
Raoul Pal voorspelde de huidige Bitcoin-daling al maanden geleden. Analisten denken dat dit juist het begin kan zijn van een nieuwe stijging.
Cryptomarkt klapt hard omlaag, maar alle ogen zijn gericht op Powells speech. Een hint op renteverlaging kan de markt laten herstellen.
