Giao thức cho vay Sturdy Finance bị rút 800.000 đô la trong một cuộc tấn công bảo mật


Giao thức cho vay phi tập trung Sturdy Finance đã trở thành nạn nhân của một cuộc tấn công bảo mật hôm nay, dẫn đến mất 442 ETH, tương đương khoảng 800.000 đô la theo Etherscan. Kẻ tấn công đã lợi dụng lỗ hổng reentrancy để thao túng một oracle giá bị lỗi và rút tiền từ đó.

Trong các ứng dụng tài chính phi tập trung, oracle đóng vai trò then chốt để cung cấp dữ liệu giá trong thế giới thực. Tuy nhiên, chúng cũng là mục tiêu tiềm năng cho hacker.

Cuộc tấn công vào Sturdy Finance được bắt đầu bằng cách tấn công reentrancy — một phương pháp thường được sử dụng để rút tiền bất hợp pháp từ các giao thức DeFi. Cuộc tấn công này tận dụng khả năng gọi một hàm lặp đi lặp lại trong giao dịch trước khi hoàn thành gọi hàm ban đầu. Đổi lại, kẻ tấn công có thể rút nhiều hơn số tiền mà họ được hưởng một cách hợp pháp.

Sau khi hacker thao túng các lệnh gọi hàm, chúng tấn công khai thác oracle giá. Bằng cách này, oracle giá của Sturdy Finance có nguồn gốc từ một hợp đồng thông minh “chỉ đọc” riêng biệt đã bị thao túng.

Oracle này được thiết kế để xác định giá trị thị trường chính xác của tài sản trong pool thanh khoản do team Sturdy Finance quản lý trên sàn giao dịch phi tập trung Balancer, do đó tạo điều kiện thuận lợi để giao dịch ETH đã staking. Tuy nhiên, vụ tấn công khai thác oracle này đã cho phép kẻ tấn công rút tiền từ Sturdy Finance, theo công ty bảo mật BlockSec.

BlockSec tuyên bố rằng “nguyên nhân gốc rễ là do reentrancy chỉ đọc điển hình của Balancer, trong khi giá của B-stETH-STABLE đã bị thao túng”.

Sturdy Finance tạm dừng thị trường

Sturdy Finance đã phản ứng bằng cách đình chỉ tất cả các thị trường của mình để ngăn chặn những tổn thất tiềm ẩn khác, đồng thời đảm bảo với người dùng rằng không có khoản tiền nào khác gặp nguy hiểm do vụ vi phạm.

“Tất cả các thị trường đã bị tạm dừng, không có khoản tiền bổ sung nào gặp rủi ro và không yêu cầu hành động nào của người dùng tại thời điểm này. Chúng tôi sẽ chia sẻ thêm ngay khi có thông tin”.

Sau cuộc tấn công, dữ liệu on-chain cho thấy hacker đã sử dụng máy trộn Tornado Cash để che giấu hoạt động.

Vào năm 2022, Sturdy Finance huy động được 3 triệu đô la trong một loạt vòng gọi vốn để xây dựng nền tảng vay và cho vay không lãi suất. Khoản tài trợ được Pantera dẫn đầu và cũng có sự tham gia của Y Combinator, Opportunity Fund của SoftBank và KuCoin Ventures.

Đình Đình

Theo The Block

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *