Sturdy Finance – ein DeFi-Projekt, das eine bis zu zehnfache Hebelwirkung auf eingesetzte Vermögenswerte verspricht – wurde durch einen Hit-and-Run-Angriff auf sein Preisorakel ausgenutzt.
Obwohl der gestohlene Betrag (im Wert von rund 800.000 US-Dollar zum Zeitpunkt der Erstellung dieses Artikels) im Vergleich zu anderen, bekannteren Angriffen wie dem Angriff auf Atomic Wallet-Benutzer erst letzte Woche verblasst, stellt er auch sicher, dass die Gewinne nicht annähernd gewaschen werden So hart es auch für Cyberkriminelle ist, die sich mit viel größeren Beträgen davongemacht haben.
Inhaltsverzeichnis
Preismanipulation
Der Angriff auf Sturdy Finance erfolgte über einen Reentrancy-Exploit, eine gängige Methode zum Angriff auf DeFi-Projekte, bei der eine Funktion in einem Smart Contract wiederholt aufgerufen wird, bevor der ursprüngliche Aufruf abgeschlossen ist.
Um Sturdy Finance anzugreifen, stellte der Hacker zunächst fest, dass das Preisorakel des Protokolls – der Teil des Sturdy-Ökosystems, der den aktuellen Wert von Vermögenswerten bestimmt, die für Handel und Kredite verwendet werden sollen – anfällig für Reentry-Exploits ist. Nachdem die Schwachstelle festgestellt wurde, stellte ein Flash-Darlehen von AAVE die für den Angriff erforderliche Liquidität bereit.
Dies ermöglicht es dem böswilligen Akteur, mehr Geld abzuheben, als ihm der Smart Contract erlauben sollte. In diesem Fall wurde der Preis des abgesteckten Ethers (stETH) dreimal hintereinander manipuliert, um es dem Betrüger zu ermöglichen, mehr abzuheben, als ihm der Kredit erlauben sollte, den ursprünglichen Kredit zurückzuzahlen und sich die zusätzlichen Mittel auszahlen zu lassen. Dieser Vorgang wurde dann fünfmal wiederholt, wobei jedes Mal ein anderer Smart Contract verwendet wurde.
2/ Der Angriffsvorgang (https://t.co/XdAhTpE6aS) besteht aus den folgenden Angriffsschritten. pic.twitter.com/EvZhYpWPDO
— BlockSec (@BlockSecTeam) 12. Juni 2023
Der Exploit führte zu einem Verlust von 442 ETH für Sturdy, ein Imbiss, der bereits auf dem Weg zu Tornado Cash war.
Obduktion läuft
Das Sicherheitsteam von Sturdy bestätigte, dass der Exploit bemerkt wurde und der Betrieb vorerst unterbrochen wurde, um eine ordnungsgemäße Obduktion durchzuführen. Das Team auch behauptet dass derzeit keine weiteren Gelder gefährdet sind, gestohlen zu werden.
„Uns ist der gemeldete Exploit des Sturdy-Protokolls bekannt. Alle Märkte wurden pausiert; Es besteht kein Risiko für zusätzliche Mittel und es sind derzeit keine Benutzeraktionen erforderlich. Wir werden weitere Informationen weitergeben, sobald wir sie haben.“
Die Sturdy-Community ist verständlicherweise verärgert über die Nachricht, und einige Benutzer äußern ihren Unglauben darüber, dass die für die Shitcoin-Boom-Ära 2017 typischen Angriffe auch heute noch stattfinden.
.
