Những nội dung chính:
Sturdy Finance, một giao thức cho vay phi tập trung, đã trở thành nạn nhân của một cuộc tấn công bảo mật ngày hôm nay, dẫn đến mất 442 Ether tương đương khoảng 800,000 đô la. Kẻ tấn công không xác định đã lợi dụng lỗ hổng reentrancy mà sau đó đã tạo điều kiện cho việc thao túng một oracle về giá bị lỗi, do đó cho phép chúng bòn rút tiền.
Trong các ứng dụng tài chính phi tập trung (DeFi), oracle giá đóng vai trò then chốt vì chúng cung cấp dữ liệu giá trong thế giới thực. Tuy nhiên, chúng cũng là mục tiêu tiềm năng cho tin tặc có thể khai thác chúng.
Cuộc tấn công vào Sturdy Finance được bắt đầu bằng một cuộc tấn công vào lại, một phương pháp thường được sử dụng để rút tiền bất hợp pháp từ các giao thức DeFi. Kiểu tấn công này tận dụng khả năng gọi một chức năng lặp đi lặp lại trong một giao dịch trước khi cuộc gọi chức năng ban đầu hoàn thành. Đổi lại, điều này cho phép kẻ tấn công rút nhiều tiền hơn số tiền mà họ được hưởng một cách hợp pháp.
Sau khi kẻ tấn công thiết lập khả năng thao túng các lệnh gọi hàm, sau đó chúng tiến hành khai thác price oracle. Price oracle của Sturdy Finance, bắt nguồn từ một hợp đồng thông minh “chỉ đọc” riêng biệt, đã bị thao túng.
Oracle này được thiết kế để xác định giá trị thị trường chính xác của tài sản trong nhóm thanh khoản do nhóm của Sturdy quản lý trên sàn giao dịch phi tập trung Balancer, do đó tạo điều kiện thuận lợi cho giao dịch Ether được stake (stETH). Tuy nhiên, việc khai thác oracle đã cho phép kẻ tấn công rút tiền từ Sturdy, theo công ty bảo mật BlockSec.
BlockSec tuyên bố, "Nguyên nhân sâu xa là do khả năng truy cập lại chỉ đọc của Trình cân bằng thông thường, trong khi giá của B-stETH-STABLE đã bị thao túng."
Sturdy tạm dừng dịch vụ
Sturdy Finance đã phản ứng lại cuộc tấn công bằng cách đình chỉ tất cả các thị trường của mình để ngăn chặn những tổn thất tiềm tàng hơn nữa, đồng thời đảm bảo với người dùng rằng không có khoản tiền nào khác gặp nguy hiểm do vi phạm.
“Tất cả các thị trường đã bị tạm dừng; không có khoản tiền bổ sung nào gặp rủi ro và không có hành động nào của người dùng được yêu cầu tại thời điểm này,” nhóm cho biết. “Chúng tôi sẽ chia sẻ thêm thông tin ngay khi có.”
Sau cuộc tấn công, dữ liệu trên chuỗi cho thấy kẻ tấn công đã sử dụng máy trộn Tornado Cash để che giấu hoạt động.
Vào năm 2022, Sturdy Finance đã huy động được 3 triệu đô la trong một loạt vòng để xây dựng một nền tảng cho vay và cho vay không lãi suất. Khoản tài trợ được dẫn dắt bởi Pantera và cũng có sự tham gia của Y Combinator, SoftBank’s Opportunity Fund và KuCoin Ventures.
Vishal Chawla
Nguồn: The Block
- Sturdy Finance đã bị thiệt hại 800,000 đô la trong một cuộc tấn công do một oracle về giá bị thao túng gây ra.
- Nhóm đã báo cáo rằng họ đã đình chỉ tất cả các thị trường của mình để tránh những tổn thất tiềm tàng hơn nữa.
Sturdy Finance, một giao thức cho vay phi tập trung, đã trở thành nạn nhân của một cuộc tấn công bảo mật ngày hôm nay, dẫn đến mất 442 Ether tương đương khoảng 800,000 đô la. Kẻ tấn công không xác định đã lợi dụng lỗ hổng reentrancy mà sau đó đã tạo điều kiện cho việc thao túng một oracle về giá bị lỗi, do đó cho phép chúng bòn rút tiền.
Trong các ứng dụng tài chính phi tập trung (DeFi), oracle giá đóng vai trò then chốt vì chúng cung cấp dữ liệu giá trong thế giới thực. Tuy nhiên, chúng cũng là mục tiêu tiềm năng cho tin tặc có thể khai thác chúng.
Cuộc tấn công vào Sturdy Finance được bắt đầu bằng một cuộc tấn công vào lại, một phương pháp thường được sử dụng để rút tiền bất hợp pháp từ các giao thức DeFi. Kiểu tấn công này tận dụng khả năng gọi một chức năng lặp đi lặp lại trong một giao dịch trước khi cuộc gọi chức năng ban đầu hoàn thành. Đổi lại, điều này cho phép kẻ tấn công rút nhiều tiền hơn số tiền mà họ được hưởng một cách hợp pháp.
Sau khi kẻ tấn công thiết lập khả năng thao túng các lệnh gọi hàm, sau đó chúng tiến hành khai thác price oracle. Price oracle của Sturdy Finance, bắt nguồn từ một hợp đồng thông minh “chỉ đọc” riêng biệt, đã bị thao túng.
Oracle này được thiết kế để xác định giá trị thị trường chính xác của tài sản trong nhóm thanh khoản do nhóm của Sturdy quản lý trên sàn giao dịch phi tập trung Balancer, do đó tạo điều kiện thuận lợi cho giao dịch Ether được stake (stETH). Tuy nhiên, việc khai thác oracle đã cho phép kẻ tấn công rút tiền từ Sturdy, theo công ty bảo mật BlockSec.
BlockSec tuyên bố, "Nguyên nhân sâu xa là do khả năng truy cập lại chỉ đọc của Trình cân bằng thông thường, trong khi giá của B-stETH-STABLE đã bị thao túng."
Sturdy tạm dừng dịch vụ
Sturdy Finance đã phản ứng lại cuộc tấn công bằng cách đình chỉ tất cả các thị trường của mình để ngăn chặn những tổn thất tiềm tàng hơn nữa, đồng thời đảm bảo với người dùng rằng không có khoản tiền nào khác gặp nguy hiểm do vi phạm.
“Tất cả các thị trường đã bị tạm dừng; không có khoản tiền bổ sung nào gặp rủi ro và không có hành động nào của người dùng được yêu cầu tại thời điểm này,” nhóm cho biết. “Chúng tôi sẽ chia sẻ thêm thông tin ngay khi có.”
Sau cuộc tấn công, dữ liệu trên chuỗi cho thấy kẻ tấn công đã sử dụng máy trộn Tornado Cash để che giấu hoạt động.
Vào năm 2022, Sturdy Finance đã huy động được 3 triệu đô la trong một loạt vòng để xây dựng một nền tảng cho vay và cho vay không lãi suất. Khoản tài trợ được dẫn dắt bởi Pantera và cũng có sự tham gia của Y Combinator, SoftBank’s Opportunity Fund và KuCoin Ventures.
Vishal Chawla
Nguồn: The Block