Ontvang nu €10 starttegoed bij Bitvavo en handel tot €10.000 zonder transactiekosten
Begin nuSturdy Finance, een gedecentraliseerd leenprotocol, werd vandaag het doelwit van een beveiligingsaanval die resulteerde in een verlies van 442 ether, of ongeveer 800.000 dollar.
Een nog onbekende aanvaller maakte gebruik van een reentrancy-kwetsbaarheid, waardoor ze het defecte prijsorakel konden manipuleren en zo geld konden stelen.
Kwetsbaarheid prijsorakels: Sturdy Finance-aanval
Koersorakels zijn van cruciaal belang in gedecentraliseerde financiële toepassingen, omdat ze zorgen voor real-world koersgegevens. Helaas vormen ze ook een potentieel doelwit voor hackers die misbruik willen maken van deze systemen.
De aanval op Sturdy Finance werd geïnitieerd door een reentrancy-aanval, een methode die vaak wordt gebruikt om op illegale wijze geld te onttrekken aan DeFi-protocollen. Bij deze aanval wordt gebruik gemaakt van de mogelijkheid om een functie herhaaldelijk aan te roepen binnen een enkele transactie voordat de oorspronkelijke functieaanroep is voltooid. Dit stelt de aanvaller in staat om meer geld op te nemen dan waar hij rechtmatig recht op heeft.
Nadat de aanvaller had ontdekt dat hij de functie-aanroepen kon manipuleren, maakte hij misbruik van het prijsorakel. Het prijsorakel van Sturdy Finance, dat afkomstig was van een apart “alleen-lezen” smart contract, werd gemanipuleerd.
Dit orakel was ontworpen om de nauwkeurige marktwaarde van activa in een liquiditeitspool te bepalen die werd beheerd door het team van Sturdy Finance op de gedecentraliseerde Balancer-uitwisseling, waardoor de handel in ether met inzet mogelijk werd gemaakt. Helaas stelde de exploitatie van het orakel de aanvaller in staat om geld weg te sluizen van Sturdy Finance, volgens beveiligingsbedrijf BlockSec.
BlockSec verklaarde: “De hoofdoorzaak van de aanval lag bij de typische read-only reentrancy van Balancer, terwijl de prijs van B-stETH-STABLE werd gemanipuleerd.”
Sturdy Finance pauzeert markten na aanval
Als reactie op de aanval heeft Sturdy Finance alle markten gepauzeerd om verdere potentiële verliezen te voorkomen. Het team verzekerde gebruikers dat er geen andere fondsen gevaar liepen als gevolg van deze inbreuk.
“Het handelen op alle markten is opgeschort; er zijn geen extra fondsen in gevaar en gebruikers hoeven op dit moment geen actie te ondernemen”, aldus het team. “Zodra we meer informatie hebben, zullen we deze delen.”
Uit on-chain gegevens blijkt dat de aanvaller na de aanval de Tornado Cash mixer heeft gebruikt om zijn activiteiten te verhullen.
In 2022 heeft Sturdy Finance $3 miljoen opgehaald in een reeks financieringsrondes om een rentevrij platform voor lenen en uitlenen te ontwikkelen. De financiering werd geleid door Pantera en omvatte ook deelname van Y Combinator, SoftBank’s Opportunity Fund en KuCoin Ventures.
Hack nieuws
Ex-werknemer steelt bijna $2 miljoen van Solana memecoin platform Pump.Fun
Pump.Fun heeft bekendgemaakt dat een voormalige werknemer het bedrijf heeft uitgebuit voor bijna $2 miljoen.
Broers stelen in 12 seconden $25 miljoen van Ethereum blockchain
Broers stelen binnen 12 seconden $25 miljoen van de Ethereum blockchain; een gedurfde diefstal die de cryptowereld schokt.
Meer dan de helft van gestolen Ethereum van Poloniex-hack overgeheveld via Tornado Cash
Uit recent onderzoek blijkt dat meer dan de helft van deze gestolen ETH via het privacyprotocol Tornado Cash is verplaatst.
Meest gelezen
Bekende Nederlandse crypto analist verkoopt al zijn Bitcoin – Dit is waarom
Michaël van de Poppe verkoopt zijn Bitcoin en herinvesteert in ondergewaardeerde altcoins voor potentieel hogere rendementen.
Crypto-analisten voorspellen: Zó lang duurt het om miljonair te worden met een $1.000 investering in Cardano
Ontdek hoe lang het duurt om miljonair te worden met een $1.000 investering in Cardano volgens crypto-analisten.
Nieuwe CPI-cijfers vandaag om 14.30: Dit staat de Bitcoin koers te wachten
Ontdek wat de nieuwe CPI-cijfers betekenen voor de Bitcoin koers en welke ontwikkelingen vandaag om 14.30 uur te verwachten zijn.