Децентрализованный Finance Protocol Прочный Finance потерял 442 эфира из-за уязвимости в системе безопасности, при этом общая сумма оценивается более чем в 800 000 долларов. Хакер воспользовался лазейкой, чтобы манипулировать ошибочным ценовым оракулом, что в конечном итоге позволило ему выкачивать деньги из протокола.
Компания по безопасности блокчейна PeckShield информированный Прочный Finance транзакции, которая, по-видимому, была связана с манипулированием ценами 12 июня. Узнав об атаке чуть более часа спустя, протокол DeFi отреагировал остановкой всех своих рынков и заверил своих клиентов, что никакие дополнительные средства не подвергаются риску.
Нам известно об обнаруженной уязвимости протокола Sturdy. Все рынки приостановлены; в настоящее время нет риска дополнительных средств, и никаких действий пользователя не требуется.
Мы поделимся дополнительной информацией, как только она у нас появится.
— Крепкий 🧱 (@SturdyFinance) 12 июня 2023 г.
Оракулы ценообразования играют важную роль в приложениях децентрализованного финансирования (DeFi), таких как Sturdy. Finance путем предоставления фактических данных о ценах. Однако они также могут стать главной целью хакеров, которые хотят воспользоваться недостатками, а также поставить под угрозу безопасность платформы.
Быстрые реакции не смогли сэкономить 800 тысяч долларов
PeckShield сообщил, что злоумышленник смог перевести около 800 000 долларов в ETH к миксеру криптовалют Tornado Cash, несмотря на быстрый ответ кредитной сети DeFi. Компания по обеспечению безопасности добавила, что «первопричиной» эксплойта был ошибочный ценовой оракул.
Атаки с повторным входом, которые часто используются для мошеннического вывода денег через протоколы DeFi, использовались для запуска атаки на Sturdy. Finance. Этот тип атаки использует возможность сделать много вызовов одной и той же функции в рамках одной транзакции до того, как первоначальный вызов функции завершится.
Злоумышленник смог получить больше денег, чем ему разрешено по закону, воспользовавшись этой уязвимостью.
Затем злоумышленник использовал свой контроль над вызовами функций, чтобы воспользоваться ценовым оракулом. Прочный Finance получил свой ценовой оракул из второго смарт-контракта «только для чтения», который отвечал за надежную оценку рыночной стоимости активов в пуле ликвидности, управляемом протоколом Balancer. Однако злоумышленнику удалось выкачать деньги из Крепкого. Finance успешно манипулируя оракулом.
Компания по обеспечению безопасности блокчейна BlockSec также подчеркнул что взлом был осуществлен с использованием повторной атаки, которая является типичной техникой, используемой хакерами для получения денег через протоколы DeFi.
Восемь видных членов криптовалютного сообщества Twitter Аккаунты недавно были захвачены мошенниками, которые использовали их для распространения своих мошеннических схем. Блокчейн-сыщик ZachXBT утверждает, что после взлома учетных записей известного ди-джея Стива Аоки, предпринимателя Pudgy Penguins Коула Виллемейна и даже криптокритика Питера Шиффа хакеры забрали около 1 миллиона долларов в криптовалютах.
Инцидент служит напоминанием о продолжающихся трудностях и опасностях децентрализованных денег, а также о ценности строгих мер безопасности.
