En Resumen
- El protocolo de préstamos DeFi Sturdy Finance fue víctima de una explotación que drenó 442 ETH (aprox. $768,800) de la plataforma.
- Empresas de seguridad blockchain como PeckShield y BlockSec destacaron el hackeo, y Sturdy Finance pausó su actividad mientras investigaba.
- El ataque se realizó mediante un exploit de reentrancia en un pool colateral, permitiendo al atacante sustraer fondos de Sturdy.
El protocolo de préstamos DeFi Sturdy Finance ha sido afectado por una explotación que drenó 442 ETH (valorados en $768,800 aproximadamente) de la plataforma.
La explotación fue destacada por empresas de seguridad blockchain como PeckShield y BlockSec; el equipo de Sturdy Finance reconoció el hackeo y pausó la actividad en la plataforma DeFi mientras investigaban el problema.
El protocolo permite pedir prestado contra tokens de proveedores de liquidez (LP) de exchanges como Curve y Balancer utilizados como garantía. La plataforma descentralizada ofrece dos mercados de préstamos: Ethereum y stablecoins ancladas al dólar.
El miembro del equipo central de Sturdy Finance, Pgpsam, señaló en el canal de Discord del proyecto que "según nuestra la investigación hasta ahora, el mercado de stablecoins no se vio afectado".
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.
We will be sharing more information as soon as we have it.
— Sturdy 🧱 (@SturdyFinance) June 12, 2023
Sin embargo, mientras la actividad permanece en pausa, los usuarios de stablecoins y ETH no pueden retirarse de las pools de Sturdy.
Pgpsam añadió: "Nuestra prioridad en este momento es entender el exploit/cómo mitigarlo y comunicarnos con el hacker".
¿Cómo ocurrió el exploit?
Los informes iniciales indican que el atacante manipuló el oráculo de precios de un pool colateral y sustrajo fondos de Sturdy.
El equipo de BlockSec informó el postmortem del ataque en Twitter esta mañana, señalando que se trató de un ataque de reentrancia de solo lectura típico de Balancer.
Un ataque de reentrancia ocurre cuando una función de un contrato inteligente interactúa con otro contrato, y ese otro contrato llama de vuelta al primer contrato antes de que haya terminado su ejecución.
En este caso, el atacante llamó repetidamente al pool B-stETH-STABLE antes de que se ejecutaran las transacciones anteriores, lo que provocó un mal funcionamiento del oráculo de precios del pool y reflejó un aumento de tres veces.
El atacante había utilizado B-stETH-STABLE como garantía para pedir prestado en Sturdy. A medida que aumentaba su precio, el atacante retiraba garantías del pool de Sturdy. En este punto, el valor real de su garantía es un tercio de su cantidad inflada, lo que permite al hacker beneficiarse de la diferencia.
El atacante tomó un préstamo flash de Aave de 50,000 wstETH y 60,000 WETH (valorados en alrededor de $191 millones) para llevar a cabo el ataque.
PeckShield informó que los explotadores movieron los fondos robados a través de Tornado Cash, un mezclador de Ethereum que agrega una capa de privacidad en las transacciones al oscurecer el vínculo entre las direcciones del remitente y el destinatario.
El gobierno de EE. UU. sancionó a Tornado Cash el año pasado debido a su uso por parte del grupo de hackers norcoreano Lazarus.