Прочный Financeпротокол децентрализованного кредитования, стал жертвой безопасности атака сегодня, что привело к потере 442 эфира или около 800 000 долларов. Неизвестный злоумышленник воспользовался уязвимостью повторного входа, которая позже облегчила манипулирование ошибочным ценовым оракулом, тем самым позволив им выкачивать средства.
В приложениях децентрализованного финансирования (DeFi) ценовые оракулы играют ключевую роль, поскольку они предоставляют данные о реальных ценах. Однако они также представляют собой потенциальную цель для хакеров, которые могут их использовать.
Атака на Стерди Finance был инициирован повторной атакой — методом, обычно используемым для незаконного вывода средств из протоколов DeFi. Этот тип атаки использует возможность многократного вызова функции в рамках одной транзакции до завершения исходного вызова функции. Это, в свою очередь, позволяет злоумышленнику вывести больше средств, чем он имеет законное право.
После того, как злоумышленник установил возможность манипулировать вызовами функций, он приступил к эксплуатации ценового оракула. Прочный Financeценовой оракул, полученный из отдельного смарт-контракта «только для чтения», подвергся манипуляциям.
Этот оракул был разработан для определения точной рыночной стоимости активов в пуле ликвидности, которым управляет команда Стерди на децентрализованной бирже Balancer, что облегчает торговлю поставленным эфиром (stETH). Однако, по данным охранной фирмы BlockSec, эксплуатация оракула позволила злоумышленнику вывести средства из Sturdy.
блоксек заявил«Основная причина связана с повторным входом типичного Balancer только для чтения, в то время как цена B-stETH-STABLE была изменена».
Прочные паузы на рынках
Прочный Finance отреагировал на атаку, приостановив работу всех своих рынков, чтобы предотвратить дальнейшие потенциальные убытки, заверив своих пользователей, что никакие другие средства не находятся в опасности в результате взлома.
«Все рынки приостановлены; никакие дополнительные средства не находятся под угрозой, и в настоящее время никаких действий пользователя не требуется», — сказали в команде. «Мы поделимся дополнительной информацией, как только она у нас появится».
После нападения, ончейн данные видно, что нападавший использовал Tornado Cash микшер, чтобы скрыть активность.
В 2022 году Крепкий Finance поднятый 3 миллиона долларов в виде серии раундов для создания платформы беспроцентного заимствования и кредитования. Финансирование возглавила Pantera, а также приняли участие Y Combinator, Opportunity Fund SoftBank и KuCoin Предприятия.