Le plus grand piratage de crypto de tous les temps ? Ronin Bridge exploité pour plus de 600 millions de dollars en ETH et USDC

DeFi

Financement solide du protocole DeFi exploité pour 442 ETH d’une valeur de près de 800 000 $

ParCryptoFinder 12 juin 202312 juin 2023

Sturdy Finance – un projet DeFi promettant un effet de levier jusqu’à 10 fois supérieur sur les actifs jalonnés – a été exploité par une attaque éclair contre son oracle de tarification.

Bien que le montant volé (d’une valeur d’environ 800 000 dollars au moment de la rédaction de cet article) soit dérisoire par rapport à d’autres attaques plus médiatisées comme celle contre les utilisateurs d’Atomic Wallet la semaine dernière, cela garantit également que le blanchiment des bénéfices ne sera pas presque aussi difficile que cela l’est pour les cybercriminels qui se sont enfuis avec des recettes bien plus importantes.

Manipulation des prix

L’attaque contre Sturdy Finance a été menée via un exploit de réentrance, une méthode courante d’attaque des projets DeFi qui consiste à appeler à plusieurs reprises une fonction dans un contrat intelligent avant que l’appel d’origine ne soit terminé.

Afin d’attaquer Sturdy Finance, le pirate a d’abord établi la vulnérabilité de l’oracle des prix du protocole – la partie de l’écosystème de Sturdy qui détermine la valeur actuelle des actifs à utiliser dans le commerce et les prêts – aux exploits de réentrance. Une fois la vulnérabilité établie, un flashloan de l’AAVE a fourni les liquidités nécessaires à l’attaque.

Cela permet au mauvais acteur de retirer plus de fonds que le contrat intelligent ne devrait le lui permettre. Dans ce cas, le prix de l’Ether jalonné (stETH) a été manipulé trois fois de suite afin de permettre au mauvais acteur de retirer plus que ce que le prêt devrait lui permettre, de rembourser le prêt initial et d’encaisser les fonds supplémentaires. Ce processus a ensuite été répété à cinq reprises, en utilisant à chaque fois un contrat intelligent différent.

2/ L’attaque tx (https://t.co/XdAhTpE6aS) se compose des étapes d’attaque suivantes. pic.twitter.com/EvZhYpWPDO

– BlockSec (@BlockSecTeam) 12 juin 2023

L’exploit a entraîné une perte de 442 ETH pour Sturdy, un plat à emporter déjà en route vers Tornado Cash.

Autopsie en cours

L’équipe de sécurité de Sturdy a confirmé que l’exploit avait été noté et que leurs opérations avaient été interrompues pour le moment afin de procéder à une autopsie appropriée. L’équipe aussi affirmé qu’aucun autre fonds ne risque actuellement d’être volé.

«Nous sommes au courant de l’exploit signalé du protocole Sturdy. Tous les marchés ont été suspendus ; aucun fonds supplémentaire n’est à risque et aucune action de l’utilisateur n’est requise pour le moment. Nous partagerons plus d’informations dès que nous les aurons.

La communauté de Sturdy est naturellement bouleversée par la nouvelle, certains utilisateurs proclamant leur incrédulité quant au fait que des attaques typiques de l’ère du boom du shitcoin en 2017 se produisent encore aujourd’hui.