Sturdy Finance, een gedecentraliseerd leenprotocol, werd vandaag het doelwit van een beveiligingsaanval die resulteerde in een verlies van 442 ether, of ongeveer 800.000 dollar.
Een nog onbekende aanvaller maakte gebruik van een reentrancy-kwetsbaarheid, waardoor ze het defecte prijsorakel konden manipuleren en zo geld konden stelen.
Kwetsbaarheid prijsorakels: Sturdy Finance-aanval
Koersorakels zijn van cruciaal belang in gedecentraliseerde financiële toepassingen, omdat ze zorgen voor real-world koersgegevens. Helaas vormen ze ook een potentieel doelwit voor hackers die misbruik willen maken van deze systemen.
De aanval op Sturdy Finance werd geïnitieerd door een reentrancy-aanval, een methode die vaak wordt gebruikt om op illegale wijze geld te onttrekken aan DeFi-protocollen. Bij deze aanval wordt gebruik gemaakt van de mogelijkheid om een functie herhaaldelijk aan te roepen binnen een enkele transactie voordat de oorspronkelijke functieaanroep is voltooid. Dit stelt de aanvaller in staat om meer geld op te nemen dan waar hij rechtmatig recht op heeft.
Nadat de aanvaller had ontdekt dat hij de functie-aanroepen kon manipuleren, maakte hij misbruik van het prijsorakel. Het prijsorakel van Sturdy Finance, dat afkomstig was van een apart “alleen-lezen” smart contract, werd gemanipuleerd.
Dit orakel was ontworpen om de nauwkeurige marktwaarde van activa in een liquiditeitspool te bepalen die werd beheerd door het team van Sturdy Finance op de gedecentraliseerde Balancer-uitwisseling, waardoor de handel in ether met inzet mogelijk werd gemaakt. Helaas stelde de exploitatie van het orakel de aanvaller in staat om geld weg te sluizen van Sturdy Finance, volgens beveiligingsbedrijf BlockSec.
BlockSec verklaarde: “De hoofdoorzaak van de aanval lag bij de typische read-only reentrancy van Balancer, terwijl de prijs van B-stETH-STABLE werd gemanipuleerd.”
Sturdy Finance pauzeert markten na aanval
Als reactie op de aanval heeft Sturdy Finance alle markten gepauzeerd om verdere potentiële verliezen te voorkomen. Het team verzekerde gebruikers dat er geen andere fondsen gevaar liepen als gevolg van deze inbreuk.
“Het handelen op alle markten is opgeschort; er zijn geen extra fondsen in gevaar en gebruikers hoeven op dit moment geen actie te ondernemen”, aldus het team. “Zodra we meer informatie hebben, zullen we deze delen.”
Uit on-chain gegevens blijkt dat de aanvaller na de aanval de Tornado Cash mixer heeft gebruikt om zijn activiteiten te verhullen.
In 2022 heeft Sturdy Finance $3 miljoen opgehaald in een reeks financieringsrondes om een rentevrij platform voor lenen en uitlenen te ontwikkelen. De financiering werd geleid door Pantera en omvatte ook deelname van Y Combinator, SoftBank’s Opportunity Fund en KuCoin Ventures.
Bitcoin-fortuin van drugsdealer belandde bij het afval, tot Europol ingreep
Ierse autoriteiten halen 1.500 Bitcoin uit verloren wallets van drugsdealer en roepen daarmee nieuwe vragen op over private keys.
Hoe een telefoontje uitmondde in 8 miljoen aan cryptolosgeld
Volgens de openbaar gemaakte aanklacht begon de cyberaanval in mei 2025 met een vorm van social engineering.
Polymarket vergoedt gebruikers na phishingaanval door beveiligingslek bij externe leverancier
Polymarket is getroffen door een cyberaanval waarbij aanvallers via een beveiligingslek bij een externe leverancier een phishingaanval uitvoerden.
Meest gelezen
Van lasser tot kok: SpaceX maakt 4.400 werknemers miljonair
De beursgang van SpaceX maakt duizenden werknemers miljonair. Van lassers tot ingenieurs profiteren zij van jarenlang opgebouwde aandelen.
Ex Google-engineer verkoopt al zijn Bitcoin: ‘Het is voorbij’
Oud-Google-engineer TechLead verkocht al zijn Bitcoin met fors verlies. Volgens hem is de markt kwetsbaar, maar hij blijft op lange termijn positief.
Dit is waarom Bitcoin, goud en zilver tegelijk onderuit gaan
Bitcoin, maar ook goud en zilver zetten al langere tijd droevige resultaten neer, terwijl Wall Street wél stijgt. Wat speelt er precies?
