Sturdy Finance, un protocollo di finanza decentralizzata (DeFi), ha perso 442 Ether (ETH), del valore di quasi 800.000 $ al momento della scrittura, a causa di un exploit di sicurezza. L'attaccante ha sfruttato una vulnerabilità che ha finito per manipolare un oracolo dei prezzi difettoso, consentendogli di drenare i fondi dal protocollo.
Il 12 Giugno, PeckShield, società di sicurezza blockchain, ha allertato Sturdy Finance segnalando una transazione che sembrava essere collegata ad una manipolazione dei prezzi. Quasi un'ora dopo, il protocollo DeFi ha dichiarato di essere a conoscenza dell'exploit e ha risposto mettendo in pausa tutti i suoi mercati e assicurando i suoi utenti che nessun altro fondo era a rischio.
Siamo a conoscenza dell'exploit del protocollo Sturdy. Tutti i mercati sono stati messi in pausa; non ci sono ulteriori fondi a rischio e al momento non sono necessarie azioni da parte degli utenti.
Condivideremo ulteriori informazioni non appena ne avremo.
— Sturdy (@SturdyFinance) June 12, 2023
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.
— Sturdy (@SturdyFinance) June 12, 2023
We will be sharing more information as soon as we have it.
Nonostante la rapida risposta della piattaforma di lending DeFi, PeckShield ha confermato che l'aggressore è riuscito a trasferire quasi 800.000 $ in ETH al mixer di criptovalute Tornado Cash. La società di security ha anche sottolineato che la "causa principale" dell'exploit era un price oracle difettoso.
Inoltre, BlockSec, società di sicurezza blockchain, ha precisato che l'hack è stato effettuato attraverso un attacco di reentrancy, un metodo comunemente utilizzato dagli hacker per prelevare fondi dai protocolli DeFi.
1/ @SturdyFinance è stata attaccata e la perdita è di ~442 ETH. La causa principale è dovuta al tipico "read-only reentrancy" del Balancer, e il prezzo di B-stETH-STABLE è stato manipolato! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) June 12, 2023
1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) June 12, 2023
Con questo metodo, gli hacker sfruttano la possibilità di chiamare ripetutamente una funzione in una singola transazione prima che la chiamata della funzione iniziale sia completata. In questo modo, gli hacker possono prelevare più fondi di quanto sarebbe possibile.
Correlato: L'hacker di Atomic Wallet ha inviato le crypto al mixer usato da Lazarus Group
Nel frattempo, alcuni scammer sono riusciti a prendere il controllo di otto account Twitter di importanti membri della cripto-community e a promuovere truffe di phishing. Secondo il detective della blockchain ZachXBT, i truffatori hanno rubato quasi 1 milione di dollari in criptovalute dopo aver preso il controllo degli account di Steve Aoki, famoso DJ, Cole Villemain, fondatore dei Pudgy Penguins, e persino di Peter Schiff, fervente hater delle criptovalute.
Recentemente, il Dipartimento di Giustizia degli Stati Uniti ha accusato due uomini presumibilmente coinvolti nell'hacking di Mt. Gox. Secondo il dipartimento, il 43enne Alexey Bilyuchenko e il 29enne Aleksandr Verner avrebbero rubato e cospirato per riciclare 647.000 Bitcoin (BTC).