Sturdy Finance، یک پروتکل وام غیرمتمرکز، امروز قربانی یک حمله امنیتی شد که منجر به هک Strudy و از دست دادن 442 اتر یا حدود 800000 دلار شد. مهاجم ناشناس از یک آسیب پذیری ورود مجدد استفاده کرد که بعداً دستکاری یک اوراکل معیوب قیمت را تسهیل کرد و در نتیجه آنها را قادر ساخت که وجوه را خارج کنند.
در برنامه های مالی غیرمتمرکز (DeFi)، اوراکل های قیمت محوری هستند زیرا داده های قیمت واقعی را ارائه می دهند. با این حال، آنها همچنین یک هدف بالقوه برای هکرها هستند که می توانند از آنها برای نقض امنیت سوء استفاده کنند.
حمله به Sturdy Finance با یک حمله بازگشت مجدد آغاز شد، روشی که معمولاً برای برداشت غیرقانونی وجوه از پروتکلهای DeFi استفاده میشود. این نوع حمله از توانایی فراخوانی مکرر یک تابع در یک تراکنش قبل از تکمیل فراخوانی تابع اصلی بهره می برد. این به نوبه خود به مهاجم این امکان را می دهد که وجوه بیشتری از آنچه که به طور قانونی مستحق آن است برداشت کند.
پس از اینکه مهاجم توانایی دستکاری فراخوانی های تابع را ایجاد کرد، سپس اقدام به سوء استفاده از اوراکل قیمت کرد. اوراکل قیمت Sturdy Finance که از یک قرارداد هوشمند «فقط خواندنی» جداگانه مشتق شده بود، دستکاری شد. این اوراکل برای تعیین ارزش دقیق بازار داراییها در یک استخر نقدینگی که توسط تیم Sturdy در صرافی غیرمتمرکز Balancer مدیریت میشود، طراحی شده است، بنابراین تجارت اتر سهامدار (stETH) را تسهیل میکند. با این حال، بهره برداری از اوراکل، مهاجم را قادر می سازد تا سرمایه خود را از Sturdy تخلیه کند.
BlockSec، یک شرکت امنیتی، اظهار داشت: “علت اصلی به دلیل ورود مجدد معمولی Balancer فقط خواندنی است، در حالی که قیمت B-stETH-STABLE دستکاری شده است.”
مطالب مرتبط: آیا بیت کوین به دلیل یک حمله موفق “DDoS” سقوط میکند؟
بعد از هک Sturdy ، Strudy به حالت تعلیق می رود
Sturdy Finance به این حمله واکنش نشان داد و تمام بازارهای خود را به حالت تعلیق درآورد تا از ضررهای احتمالی بیشتر جلوگیری کند و به کاربران خود اطمینان دهد که هیچ وجه دیگری در نتیجه این نقض در خطر نیست.
«همه بازارها متوقف شده اند. هیچ وجه اضافی در خطر نیست و هیچ اقدام کاربر در حال حاضر مورد نیاز نیست. “به محض اینکه اطلاعات بیشتری بدست آوردیم، اطلاعات بیشتری را به اشتراک خواهیم گذاشت.”
پس از حمله، دادههای زنجیرهای نشان میدهند که مهاجم از میکسر Tornado Cash برای پنهان کردن فعالیت استفاده کرده است.
در سال 2022، Sturdy Finance 3 میلیون دلار در یک سری دور جمع آوری کرد تا یک پلتفرم استقراض و وام بدون بهره ایجاد کند. این سرمایه توسط Pantera رهبری شد و همچنین شاهد مشارکت Y Combinator، SoftBank’s Opportunity Fund و KuCoin Ventures بود.
منبع: theBlock