Sturdy Finance, un protocolo de préstamo descentralizado, experimentó una brecha de seguridad significativa hoy, lo que resultó en una pérdida de 442 ether, equivalente a aproximadamente $ 800,000. El ataque fue llevado a cabo por un individuo desconocido que aprovechó una vulnerabilidad de reingreso dentro del sistema, lo que le permitió manipular un oráculo de precios defectuoso y desviar fondos.
En las aplicaciones de finanzas descentralizadas ( DeFi ) como Sturdy Finance, los oráculos de precios juegan un papel crucial al proporcionar datos de precios del mundo real. Sin embargo, también pueden servir como un objetivo principal para los piratas informáticos que buscan explotar vulnerabilidades y comprometer la seguridad de la plataforma.
El ataque a Sturdy Finance comenzó con un ataque de reingreso, un método comúnmente empleado para retirar fondos de forma fraudulenta de DeFi protocolos Este tipo de ataque aprovecha la capacidad de llamar a una función repetidamente dentro de una sola transacción antes de que se complete la llamada a la función original. Al aprovechar esta laguna, el atacante pudo retirar más fondos de los que legítimamente tenían derecho.
Brecha de seguridad de Sturdy Finance
Una vez que el atacante obtuvo el control de las llamadas a funciones, procedió a explotar el oráculo de precios. Sturdy Finance se basó en un trac inteligente separado de "solo lectura" para derivar su oráculo de precios, que era responsable de determinar con precisión el valor de mercado de los activos en un grupo de liquidez administrado por el protocolo en el intercambio descentralizado Balancer. Sin embargo, el atacante manipuló con éxito el oráculo, lo que les permitió drenar fondos de Sturdy Finance.
BlockSec, una empresa de seguridad, dent la causa raíz de la brecha como la típica vulnerabilidad de reingreso en el sistema de Balancer, combinada con la manipulación del precio de B-stETH-STABLE.
En respuesta al ataque , Sturdy Finance tomó medidas inmediatas al suspender todos sus mercados para evitar más pérdidas potenciales. El equipo aseguró a los usuarios que no había fondos adicionales en riesgo y que no se requería ninguna acción inmediata por parte de los usuarios. Se comprometieron a proporcionar más información tan pronto como estuviera disponible.
Después del ataque, los datos en cadena revelaron que el atacante utilizó el Tornado Cash para ofuscar sus actividades. Este mezclador es una herramienta utilizada para mejorar la privacidad y dificultar el trac de las transacciones en la cadena de bloques .
El dent destaca los desafíos y riesgos actuales asociados con las finanzas descentralizadas y la importancia de medidas de seguridad sólidas. La rápida respuesta de Sturdy Finance al suspender los mercados demuestra su compromiso con la protección de los fondos de los usuarios y la mitigación de posibles pérdidas. A medida que avanza la investigación, se espera obtener más información para evitar ataques similares en el futuro y fortalecer la seguridad general de los protocolos de préstamos descentralizados.
