DeFi 协议Sturdy Finance 利用价值近 80 万美元的 442 ETH
DeFi 协议是通过重入漏洞的利用,目标是 Sturdy 的定价预言机。
Sturdy Finance 一个承诺对质押资产提供高达 10 倍杠杆的 DeFi 项目,已被对其定价预言机的肇事逃逸攻击所利用。
尽管被盗金额(在撰写本文时价值约 80 万美元)与其他更引人注目的攻击(如上周针对Atomic 钱包用户的攻击)相比相形见绌,但它也确保洗钱利润不会接近对盗取更大收益的网络罪犯来说,这同样困难重重。
价格操纵
对 Sturdy Finance 的攻击是通过重入利用进行的,这是一种攻击 DeFi 项目的常用方法,需要在原始调用完成之前重复调用智能合约中的函数。
为了攻击 Sturdy Finance,黑客首先确定了协议价格预言机的漏洞,Sturdy 生态系统的一部分,它决定了用于交易和贷款的资产的当前价值,以进行重入攻击。一旦漏洞被确定,来自 AAVE 的快速贷款提供了攻击所需的流动性。
这允许不良行为者提取比智能合约允许的更多的资金。在这种情况下,质押的以太币 (stETH) 的价格连续三次被操纵,以使不良行为者能够提取超过贷款应允许的金额,还清原始贷款,并兑现额外的资金。然后这个过程重复了五次,每次都使用不同的智能合约。
该漏洞导致 Sturdy 损失了 442 ETH,这是一个已经在前往 Tornado Cash 的路上的外卖。
验尸正在进行中
Sturdy 的安全团队确认已注意到该漏洞,并且他们的操作已暂时暂停以进行适当的事后分析。该团队还断言,目前没有其他资金有被盗的风险。
“我们知道报告的 Sturdy 协议漏洞。所有市场都已暂停;没有额外的资金有风险,此时不需要用户操作。我们将在获得更多信息后立即分享。”
Sturdy 的社区对这一消息感到不安是可以理解的,一些用户声称不相信 2017 年垃圾币繁荣时代的典型攻击今天仍在发生。
Scan QR code with WeChat