12/04/2024
Protocole de prêt DeFi Un financement solide touché par l'exploit, plus de 750 000 $ drainés

Protocole de prêt DeFi Un financement solide touché par l’exploit, plus de 750 000 $ drainés



Le protocole de prêt DeFi Sturdy Finance a été touché par un exploit qui a drainé 442 ETH (d’une valeur d’environ 768 800 $) de la plate-forme.

L’exploit a été mis en évidence par des sociétés de sécurité blockchain comme PeckShield et BlockSec; l’équipe de Sturdy Finance a reconnu le piratage et a interrompu l’activité sur la plate-forme DeFi pendant qu’elle enquêtait sur le problème.

Le protocole permet d’emprunter contre des jetons de fournisseur de liquidité (LP) auprès d’échanges comme Curve et Balancer en garantie. L’application décentralisée offre deux marchés de prêt—Ethereum et indexé sur le dollar stablecoins.

Membre de l’équipe principale de Sturdy Finance pgpsam indiqué dans la chaîne Discord du projet que « d’après notre enquête jusqu’à présent, le marché des pièces stables n’est pas affecté ».

Cependant, alors que l’activité reste en pause, les utilisateurs de stablecoin et d’ETH ne peuvent pas se retirer des pools de Sturdy.

PgpsamComment ajoutée« Notre priorité actuelle est de comprendre l’exploit/comment l’atténuer et de communiquer avec le pirate. »

Comment l’exploit s’est-il produit ?

Les rapports initiaux indiquent que l’attaquant a manipulé l’oracle des prix d’un pool de garanties et a détourné des fonds de Sturdy.

L’équipe BlockSec a rapporté le post-mortem de l’attaque rapport sur Twitter ce matin, notant qu’il s’agissait d’une « attaque typique de réentrance en lecture seule de Balancer ».

Une attaque de réentrance se produit lorsqu’un contrat intelligent fonction interagit avec un autre contrat, et cet autre contrat rappelle le premier contrat avant d’avoir terminé son exécution.

Dans ce cas, l’attaquant a appelé à plusieurs reprises le pool B-stETH-STABLE avant l’exécution des transactions précédentes, provoquant un dysfonctionnement de l’oracle des prix du pool et reflétant une multiplication par trois.

L’attaquant avait utilisé B-stETH-STABLE comme garantie pour emprunter sur Sturdy. Au fur et à mesure que son prix augmentait, l’attaquant a retiré des garanties du pool de Sturdy. À ce stade, la valeur réelle de leur garantie est d’un tiers de son montant gonflé, permettant au pirate de bénéficier de la différence.

L’attaquant a pris un prêt flash de Aave de 50 000 wstETH et 60 000 WETH (d’une valeur d’environ 191 millions de dollars) pour mener l’attaque.

PeckShield signalé que les exploiteurs ont déplacé les fonds volés via Tornado Cash, un mélangeur Ethereum qui ajoute une couche de confidentialité dans les transactions en masquant le lien entre l’adresse de l’expéditeur et celle du destinataire.

Le gouvernement américain sanctionné Tornado Cash l’année dernière en raison de son utilisation par le groupe de piratage nord-coréen Lazarus.

Restez au courant des actualités cryptographiques, recevez des mises à jour quotidiennes dans votre boîte de réception.





Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *