Протокол децентрализованных финансов (DeFi) Sturdy Finance потерял 442 эфира (ETH) на сумму почти 800 000 долларов на момент написания статьи из-за эксплойта безопасности. Злоумышленник воспользовался уязвимостью, которая в конечном итоге манипулировала ошибочным ценовым оракулом, что позволило им вывести средства из протокола.
12 июня компания по обеспечению безопасности блокчейн PeckShield предупредила Sturdy Finance и сообщила о транзакции, которая, по-видимому, была связана с манипулированием ценами. Почти час спустя протокол DeFi заявил, что им известно об эксплойте, и в ответ приостановил все свои рынки и заверил своих пользователей, что никакие дополнительные средства не подвергаются риску.
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.
We will be sharing more information as soon as we have it.
— Sturdy (@SturdyFinance) June 12, 2023
Несмотря на быстрый ответ кредитной платформы DeFi, PeckShield подтвердил, что злоумышленник смог перевести почти 800 000 долларов США в ETH на санкционированный миксер криптовалют Tornado Cash. Охранная фирма также отметила, что «основной причиной» эксплойта является ошибочный ценовой оракул.
Кроме того, компания BlockSec, занимающаяся безопасностью блокчейна, подчеркнула, что взлом был осуществлен с помощью повторной атаки — распространенного метода, который хакеры используют для вывода средств из протоколов DeFi.
1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) June 12, 2023
С помощью этого метода хакеры используют возможность многократного вызова функции в одной транзакции до завершения первоначального вызова функции. Благодаря этому хакеры смогут вывести больше средств, чем им разрешено.
Связанный: хакер Atomic Wallet отправляет криптовалюту на миксер, используемый Lazarus Group: Elliptic
Тем временем мошенники смогли получить контроль над восемью учетными записями в Твиттере известных членов криптовалютного сообщества и продвигать мошенничество с криптовалютой. По словам детектива по блокчейну ZachXBT, мошенники украли почти 1 миллион долларов в криптовалюте после того, как взяли под контроль учетные записи ди-джея Стива Аоки, основателя Pudgy Penguins Коула Виллемейна и даже ненавистника криптовалюты Питера Шиффа.
Из других новостей: министерство юстиции США недавно предъявило обвинения двум мужчинам, предположительно причастным к взлому Mt. Gox. По данным ведомства, 43-летний Алексей Билюченко и 29-летний Александр Вернер якобы похитили и вступили в сговор с целью отмывания 647 000 Биткоин (BTC).
