Sturdy Finance arrête le marché après un exploit de 800 000 $ lié à un oracle de prix défectueux
Sturdy Finance a suspendu ses marchés le 12 juin à la suite d’un exploit de protocole – les pertes sont estimées à environ 442 ETH (800 000 $) par Bouclier.
Dans un déclarationl’équipe a confirmé qu’elle était au courant de l’exploit, ajoutant qu’aucun fonds supplémentaire n’est à risque et qu’aucune action de l’utilisateur n’est actuellement nécessaire – avec plus d’informations à suivre en attendant les résultats de l’enquête.
Sturdy Finance n’a pas encore répondu à de CryptoSlate demande de commentaires supplémentaires au moment de la publication.
Les entreprises de sécurité de la blockchain expliquent comment Sturdy Finance a été exploité
La société de sécurité Blockchain Peckshield initialement signalé que l’exploit de Sturdy Finance était lié à un oracle de prix défectueux. Plus loin analyse a montré « la cause profonde [was] en raison de l’oracle de prix défectueux pour calculer le prix de l’actif cB-stETH-STABLE.
Protocole de graphe de connaissances Web3 0xScope corroboré ce rapport, ajoutant que le pirate a transféré les fonds volés au protocole de mélange cryptographique, Tornado Cash et à l’échange Change Now.
Pendant ce temps, l’auditeur de contrats intelligents BlockSec indiqué qu’en plus de la manipulation des prix oracle signalée par Peckshield et 0xScope, l’exploit a également montré des signes d’une attaque de «réentrance en lecture seule typique de Balancer».
En utilisant le hachage de transaction d’attaque, BlockSec a expliqué comment l’attaquant a d’abord emprunté plus de 100 000 Ethereum jalonnés à Aave dans un prêt flash avant d’exploiter un pool de liquidités géré par l’équipe de Sturdy Finance sur le Balancer.
Selon CertiK, une attaque par réentrance permet à un attaquant de drainer les fonds d’un contrat vulnérable en appelant à plusieurs reprises la fonction de retrait avant de mettre à jour son solde.
Le post Sturdy Finance arrête le marché après que l’exploit de 800 000 $ lié à un oracle de prix défectueux soit apparu en premier sur CryptoSlate.