وقع Sturdy Finance ، وهو بروتوكول إقراض لامركزي ، ضحية لهجوم أمني اليوم ، أدى إلى خسارة 442 إيثر أو حوالي 800 ألف دولار. استفاد المهاجم المجهول من ثغرة إعادة الدخول التي سهلت لاحقًا التلاعب في أوراكل السعر الخاطئ ، وبالتالي تمكينهم من سرقة الأموال.
في تطبيقات التمويل اللامركزي (DeFi) ، تعتبر أوراكل السعر محورية لأنها توفر بيانات الأسعار في العالم الحقيقي. ومع ذلك ، فهي تمثل أيضًا هدفًا محتملاً للمتسللين الذين يمكنهم استغلالها لارتكاب انتهاكات أمنية.
بدأ الهجوم على Sturdy Finance بهجوم عودة ، وهي طريقة تستخدم عادة لسحب الأموال بشكل غير مشروع من بروتوكولات DeFi. يستفيد هذا النوع من الهجوم من القدرة على استدعاء دالة بشكل متكرر داخل معاملة واحدة قبل اكتمال استدعاء الوظيفة الأصلي. وهذا بدوره يسمح للمهاجم بسحب أموال أكثر مما يحق له قانونًا.
بعد أن أثبت المهاجم القدرة على التلاعب باستدعاءات الوظائف ، شرعوا بعد ذلك في استغلال أوراكل السعر. تم التلاعب بأوراكل سعر Sturdy Finance ، المستمد من عقد ذكي منفصل “للقراءة فقط”. تم تصميم هذا أوراكل لتحديد القيمة السوقية الدقيقة للأصول في مجمع السيولة الذي يديره فريق Sturdy في التبادل اللامركزي Balancer ، وبالتالي تسهيل تداول الإيثر المتراكم (stETH). ومع ذلك ، فإن استغلال أوراكل مكن المهاجم من استنزاف الأموال من Sturdy.
صرحت شركة BlockSec ، وهي شركة أمنية ، أن “السبب الأساسي يرجع إلى إعادة الدخول للقراءة فقط الخاصة بـ Balancer النموذجي ، بينما تم التلاعب بسعر B-stETH-STABLE.”
قوي يوقف الأسواق مؤقتًا
ردت Sturdy Finance على الهجوم من خلال تعليق جميع أسواقها لمنع المزيد من الخسائر المحتملة ، وطمأنت مستخدميها أنه لا توجد أموال أخرى في خطر نتيجة الاختراق.
“تم إيقاف جميع الأسواق مؤقتًا ؛ قال الفريق: “لا توجد أموال إضافية معرضة للخطر ، ولا يلزم اتخاذ أي إجراءات من قبل المستخدم في الوقت الحالي”. “سنشارك المزيد من المعلومات بمجرد حصولنا عليها.”
بعد الهجوم ، تُظهر البيانات الموجودة على السلسلة أن المهاجم استخدم خلاط Tornado Cash لإخفاء النشاط.
في عام 2022 ، جمعت Sturdy Finance 3 ملايين دولار في سلسلة من الجولات لإنشاء منصة إقراض وإقراض بدون فوائد. قاد التمويل Pantera وشهد أيضًا مشاركة من Y Combinator و SoftBank’s Opportunity Fund و KuCoin Ventures.