STURDY FINANCE - REKT



No tan robusto, después de todo.

Sturdy Finance ha perdido ~$800k debido a un exploit de manipulación de precios.

El protocolo de préstamos basado en Ethereum ofrece apalancamiento para los agricultores de rendimiento que depositan activos estacados como colateral.

Poco después de que se activara la alarma, el equipo de Sturdy Finance reconoció el ataque:

Somos conscientes del exploit reportado en el protocolo Sturdy. Todos los mercados han sido pausados; no hay fondos adicionales en riesgo y no se requieren acciones por parte de los usuarios en este momento.

Como señaló Ancilia, el vector de ataque es similar a los exploits en Midas Capital y dForce Network.

¿Realmente este problema todavía está causando problemas?

Crédito: Ancilia, BlockSec

El ataque utilizó un préstamo flash para apuntar al (lamentablemente llamado) SturdyOracle y devolver un precio manipulado del token de colateral (B-stETH-STABLE).

BlockSec proporcionó los siguientes pasos:

Dirección del atacante: 0x1e8419e724d51e87f78e222d935fbbdeb631a08b

Contrato de ataque (con protección contra adelantamiento incorporada): 0x0b09c86260c12294e3b967f0d523b4b2bcdfbeab

Tx de ataque: 0xeb87ebc0...

Las ganancias de 442 ETH ($800k) fueron depositadas inmediatamente en Tornado Cash, completando el lavado de dinero solo 20 minutos después de haber sido financiadas desde la misma fuente.

Esta vulnerabilidad de reentrancia de solo lectura se ha observado en varios ataques durante el último año.

Un post de febrero en los foros de Balancer señaló cómo algunos pools de Balancer también son susceptibles al vector de ataque, con los pools específicos atacados en el ataque de hoy listados como vulnerables.

Con tres auditorías (de Certik, Quantstamp y Code4rena), y un tipo de exploit bien conocido, es sorprendente que estos pools fueran dejados abiertos a ataques.

EDIT 02/06/2024: Como señaló Quantstamp, la versión vulnerable del contrato LendingPool no estaba dentro del alcance de la auditoría. La tabla de líderes ha sido actualizada en consecuencia.

No es de extrañar que muchos estén discutiendo la necesidad de sistemas de préstamo libres de oráculos, lo cual se está convirtiendo en un tema candente. Aunque, ciertas soluciones eventualmente pueden necesitar oráculos propios...

Esperemos que, en el futuro, estemos construyendo sobre bases más robustas.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.