Hacker rút 800K USD từ giao thức DeFi Sturdy Finance

Giao thức tài chính phi tập trung (DeFi) Sturdy Finance đã mất 442 ETH, trị giá gần 800.000 đô la. Kẻ tấn công đã khai thác một lỗ hổng nhằm thao túng một oracle giá, cho phép chúng rút tiền từ giao thức.

Vào ngày 12 tháng 6, công ty bảo mật blockchain PeckShield đã cảnh báo Sturdy Finance và báo cáo một giao dịch liên quan đến thao túng giá. Gần một giờ sau, Sturdy Finance cho biết họ đã biết về việc khai thác và phản hồi bằng cách tạm dừng tất cả các thị trường của họ và đảm bảo với người dùng rằng không có thêm khoản tiền nào gặp rủi ro.

We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.

We will be sharing more information as soon as we have it.

— Sturdy 🧱 (@SturdyFinance) June 12, 2023

Bất chấp phản hồi nhanh chóng từ nền tảng Sturdy Finance, PeckShield xác nhận rằng kẻ tấn công đã có thể chuyển gần 800.000 đô la ETH sang máy trộn tiền điện tử Tornado Cash. Công ty cũng lưu ý rằng “nguyên nhân gốc rễ” của việc khai thác là do một oracle về giá bị lỗi.

Ngoài ra, công ty bảo mật blockchain BlockSec nhấn mạnh rằng vụ hack được thực hiện thông qua một cuộc tấn công vào lại (reentrancy). Đây cũng là phương thức phổ biến mà hacker sử dụng để rút tiền từ các giao thức DeFi. Thông qua phương pháp này, hacker khai thác khả năng gọi liên tục một chức năng trong một giao dịch trước khi cuộc gọi chức năng ban đầu hoàn tất. Với điều này, hacker có thể rút nhiều tiền hơn mức có thể.

1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN

— BlockSec (@BlockSecTeam) June 12, 2023