Sturdy Finance, un protocole de prêt décentralisé, a connu aujourd'hui une faille de sécurité importante, entraînant une perte de 442 éthers, équivalant à environ 800 000 $. L'attaque a été menée par un inconnu qui a exploité une vulnérabilité de réentrance au sein du système, leur permettant de manipuler un oracle de prix défectueux et de siphonner des fonds.
Dans les applications de finance décentralisée ( DeFi ) comme Sturdy Finance, les oracles de prix jouent un rôle crucial en fournissant des données de prix réelles. Cependant, ils peuvent également servir de cible privilégiée pour les pirates cherchant à exploiter les vulnérabilités et à compromettre la sécurité de la plate-forme.
L'attaque contre Sturdy Finance a commencé par une attaque de réentrance, une méthode couramment utilisée pour retirer frauduleusement des fonds de DeFi protocoles. Ce type d'attaque tire parti de la possibilité d'appeler une fonction à plusieurs reprises au sein d'une même transaction avant que l'appel de fonction d'origine ne soit terminé. En tirant parti de cette faille, l'attaquant a pu retirer plus de fonds qu'il n'y avait légitimement droit.
Brèche de sécurité de Sturdy Finance
Une fois que l'attaquant a pris le contrôle des appels de fonction, il a exploité l'oracle des prix. Sturdy Finance s'appuyait sur un trac intelligent « en lecture seule » séparé pour dériver son oracle de prix, qui était chargé de déterminer avec précision la valeur de marché des actifs dans un pool de liquidités géré par le protocole sur l'échange décentralisé Balancer. Cependant, l'attaquant a réussi à manipuler l'oracle, leur permettant de drainer des fonds de Sturdy Finance.
BlockSec, une entreprise de sécurité, a dent la cause première de la violation comme étant la vulnérabilité de réentrance typique dans le système de Balancer, combinée à la manipulation du prix de B-stETH-STABLE.
En réponse à l' attaque , Sturdy Finance a pris des mesures immédiates en suspendant tous ses marchés pour éviter de nouvelles pertes potentielles. L'équipe a assuré aux utilisateurs qu'aucun fonds supplémentaire n'était à risque et qu'aucune action immédiate n'était requise de la part des utilisateurs. Ils se sont engagés à fournir plus d'informations dès qu'elles seront disponibles.
Après l'attaque, les données en chaîne ont révélé que l'attaquant avait utilisé le Tornado Cash pour obscurcir ses activités. Ce mélangeur est un outil utilisé pour améliorer la confidentialité et rendre difficile le trac des transactions sur la blockchain .
L' dent met en évidence les défis et les risques actuels associés à la finance décentralisée et l'importance de mesures de sécurité solides. La réponse rapide de Sturdy Finance en suspendant les marchés démontre son engagement à protéger les fonds des utilisateurs et à atténuer les pertes potentielles. Au fur et à mesure que l'enquête se déroule, on espère que de nouvelles informations seront acquises pour prévenir des attaques similaires à l'avenir et renforcer la sécurité globale des protocoles de prêt décentralisés.
