DeFi-Protokoll Sturdy Finance für 442 ETH im Wert von fast 800.000 US-Dollar ausgenutzt

Sturdy Finance – ein DeFi-Projekt, das eine bis zu zehnfache Hebelwirkung auf eingesetzte Vermögenswerte verspricht – wurde durch einen Hit-and-Run-Angriff auf sein Preisorakel ausgenutzt.
Obwohl der gestohlene Betrag (zum Zeitpunkt der Abfassung dieses Artikels etwa 800.000 US-Dollar wert) im Vergleich zu anderen, spektakuläreren Angriffen wie etwa dem auf die Nutzer von Atomic Wallet erst letzte Woche verblasst, stellt er auch sicher, dass das Waschen der Gewinne nicht annähernd so schwierig sein wird wie für Cyberkriminelle, die bereits weitaus größere Beute gemacht haben.
Preismanipulation
Der Angriff auf Sturdy Finance wurde über einen Reentrancy Exploit durchgeführt, eine gängige Methode zum Angriff auf DeFi-Projekte, bei der eine Funktion in einem Smart Contract wiederholt aufgerufen wird, bevor der ursprüngliche Aufruf abgeschlossen ist.
Um Sturdy Finance anzugreifen, stellte der Hacker zunächst die Anfälligkeit des Preisorakels des Protokolls – des Teils des Ökosystems von Sturdy, der den aktuellen Wert der für Handel und Kredite zu verwendenden Vermögenswerte bestimmt – für Reentrancy-Exploits fest. Nachdem die Anfälligkeit festgestellt war, stellte ein Flashloan von AAVE die für den Angriff erforderliche Liquidität bereit.
Dies ermöglicht es dem böswilligen Akteur, mehr Geld abzuheben, als der Smart Contract ihm erlauben sollte. In diesem Fall wurde der Preis des eingesetzten Ethers (stETH) dreimal hintereinander manipuliert, um es dem böswilligen Akteur zu ermöglichen, mehr abzuheben, als das Darlehen ihm erlauben sollte, das ursprüngliche Darlehen zurückzuzahlen und die zusätzlichen Mittel auszuzahlen. Dieser Vorgang wurde dann fünfmal wiederholt, jedes Mal mit einem anderen Smart Contract.
2/ Der Angriffs-Tx (https://t.co/XdAhTpE6aS) besteht aus den folgenden Angriffsschritten. pic.twitter.com/EvZhYpWPDO
– BlockSec (@BlockSecTeam), 12. Juni 2023
Durch den Exploit verlor Sturdy 442 ETH, ein Betrag, der sich bereits auf dem Weg zu Tornado Cash befindet.
Obduktion im Gange
Das Sicherheitsteam von Sturdy bestätigte, dass der Exploit bemerkt wurde und seine Aktivitäten vorerst unterbrochen wurden, um eine ordnungsgemäße Obduktion durchzuführen. Das Team versicherte außerdem, dass derzeit keine weiteren Gelder gestohlen werden könnten.
„Wir sind uns des gemeldeten Exploits des Sturdy-Protokolls bewusst. Alle Märkte wurden angehalten; es sind keine weiteren Mittel gefährdet und derzeit sind keine Benutzeraktionen erforderlich. Wir werden weitere Informationen weitergeben, sobald wir sie haben.“
Die Community von Sturdy ist verständlicherweise über die Neuigkeiten verärgert. Einige Benutzer äußerten ihren Unglauben darüber, dass es heute immer noch solche Angriffe gibt, die für die Shitcoin-Boom-Ära des Jahres 2017 typisch sind.
Der Beitrag „DeFi-Protokoll Sturdy Finance für 442 ETH im Wert von fast 800.000 $ ausgenutzt“ erschien zuerst auf CryptoPotato.