Sturdy Finance 借贷协议在安全攻击中撤回 800,000 美元
攻击者利用重入漏洞来操纵错误的价格预言机并从中提取资金。
在去中心化金融应用中,预言机扮演着举足轻重的角色,提供真实世界的价格数据。然而,它们也是黑客的潜在目标。
对 Sturdy Finance 的攻击是由重入攻击发起的——这是一种从DeFi协议中非法取款的常用方法。这种攻击利用了在初始函数调用完成之前在事务中重复调用函数的能力。作为回报,攻击者可以提取比他们合法有权提取的更多的东西。
黑客操纵函数调用后,攻击价格预言机挖矿。通过这种方式,Sturdy Finance 的价格预言机是从一个单独的“只读” 智能合约中衍生出来的,该智能合约已经被操纵。
该预言机旨在确定 Sturdy Finance 团队在 Balancer去中心化交易所管理的流动性池中资产的确切市场价值,从而促进抵押ETH 的交易。然而,据安全公司 BlockSec 称,这次预言机挖矿攻击确实允许攻击者从 Sturdy Finance 提取资金。
BlockSec 表示,“根本原因是 Balancer 典型的只读重入,而 B-stETH-STABLE 的价格被操纵了”。
Sturdy Finance 的回应是暂停其所有市场以防止进一步的潜在损失,同时向用户保证没有其他资金因违规而面临风险。
“所有市场都已暂停,没有额外的资金面临风险,此时不需要用户采取任何行动。一旦信息可用,我们将尽快分享更多信息。”
攻击发生后,链上数据显示黑客使用 Tornado Cash 混合器来隐藏活动。
2022 年,Sturdy Finance 在一系列融资中筹集了 300 万美元,用于构建无息借贷平台。这笔资金由 Pantera 领投,Y Combinator、软银机会基金和 KuCoin Ventures 也参与其中。
根据块
在脸书上关注我们
