Протокол децентралізованих фінансів (DeFi) Sturdy Finance втратив 442 ефіри (ETH), що на момент написання статті вартістю майже 800 000 доларів США через експлойт безпеки. Зловмисник скористався вразливістю, яка зрештою маніпулювала помилковим ціновим оракулом, що дозволило йому викачати кошти з протоколу.
12 червня фірма безпеки блокчейну PeckShield попередила Sturdy Finance і повідомила про транзакцію, яка, здавалося, була пов’язана з маніпулюванням цінами. Майже через годину представники протоколу DeFi заявили, що знають про експлойт, і у відповідь призупинили всі свої ринки та запевнили користувачів, що додаткові кошти не загрожують.
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.
We will be sharing more information as soon as we have it.
— Sturdy (@SturdyFinance) June 12, 2023
Незважаючи на швидку відповідь платформи кредитування DeFi, PeckShield підтвердив, що зловмисник зміг перевести майже 800 000 доларів США в ETH на санкційний міксер криптовалют Tornado Cash. Охоронна фірма також зазначила, що «першопричиною» експлойту є помилковий оракул ціни.
Крім того, компанія з безпеки блокчейнів BlockSec підкреслила, що злам було здійснено за допомогою атаки повторного входу, поширеного методу, який хакери використовують для виведення коштів з протоколів DeFi.
1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) June 12, 2023
За допомогою цього методу хакери використовують можливість багаторазового виклику функції в одній транзакції до завершення початкового виклику функції. Завдяки цьому хакери зможуть вивести більше коштів, ніж їм дозволено.
За темою: Хакер Atomic Wallet надсилає криптовалюту в мікшер, який використовується Lazarus Group: Elliptic
Тим часом шахраї змогли взяти під контроль вісім акаунтів у Twitter відомих членів криптовалютної спільноти та просувати шахрайство з криптовалютою. За словами блокчейн-детектива ZachXBT, шахраї вкрали майже 1 мільйон доларів у криптовалюті після того, як взяли під контроль облікові записи діджея Стіва Аокі, засновника Pudgy Penguins Коула Вільмейна та навіть ненависника криптовалюти Пітера Шиффа.
Інші новини: Міністерство юстиції Сполучених Штатів нещодавно висунуло звинувачення двом чоловікам, які ймовірно причетні до злому Mt. Gox. За даними відомства, 43-річний Олексій Білюченко та 29-річний Олександр Вернер нібито вкрали та змовилися з метою відмивання 647 000 біткойнів (BTC).
