DeFi 协议Sturdy Finance 利用价值近 80 万美元的 442 ETH

奔跑财经 閱讀 61621 2023-6-13 10:48
分享至
微信掃一掃,打開網頁後點擊屏幕右上角分享按鈕

DeFi 协议是通过重入漏洞的利用,目标是 Sturdy 的定价预言机。

Sturdy Finance 一个承诺对质押资产提供高达 10 倍杠杆的 DeFi 项目,已被对其定价预言机的肇事逃逸攻击所利用。

尽管被盗金额(在撰写本文时价值约 80 万美元)与其他更引人注目的攻击(如上周针对Atomic 钱包用户的攻击)相比相形见绌,但它也确保洗钱利润不会接近对盗取更大收益的网络罪犯来说,这同样困难重重。

价格操纵

对 Sturdy Finance 的攻击是通过重入利用进行的,这是一种攻击 DeFi 项目的常用方法,需要在原始调用完成之前重复调用智能合约中的函数。

为了攻击 Sturdy Finance,黑客首先确定了协议价格预言机的漏洞,Sturdy 生态系统的一部分,它决定了用于交易和贷款的资产的当前价值,以进行重入攻击。一旦漏洞被确定,来自 AAVE 的快速贷款提供了攻击所需的流动性。

这允许不良行为者提取比智能合约允许的更多的资金。在这种情况下,质押的以太币 (stETH) 的价格连续三次被操纵,以使不良行为者能够提取超过贷款应允许的金额,还清原始贷款,并兑现额外的资金。然后这个过程重复了五次,每次都使用不同的智能合约。

DeFi 协议Sturdy Finance 利用价值近 80 万美元的 442 ETH

该漏洞导致 Sturdy 损失了 442 ETH,这是一个已经在前往 Tornado Cash 的路上的外卖。

验尸正在进行中

Sturdy 的安全团队确认已注意到该漏洞,并且他们的操作已暂时暂停以进行适当的事后分析。该团队还断言,目前没有其他资金有被盗的风险。

“我们知道报告的 Sturdy 协议漏洞。所有市场都已暂停;没有额外的资金有风险,此时不需要用户操作。我们将在获得更多信息后立即分享。”

Sturdy 的社区对这一消息感到不安是可以理解的,一些用户声称不相信 2017 年垃圾币繁荣时代的典型攻击今天仍在发生。

btcfans公众号

微信掃描關注公眾號,及時掌握新動向

免責聲明:
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
標籤: 黑客 DeFi协议
上一篇:比特币价格悬而未决:联邦公开市场委员会会议将释放什么? 下一篇:SEC、CPI 和“强劲反弹”——本周关于比特币(BTC)的 5 件事

相關資訊