حمله ۷۶۸ هزار دلاری به پروتکل وامدهی استردی فایننس
پروتکل وامدهی دیفای استردی فایننس Sturdy Finance هک شد و هکر موفق شد ۴۴۲ اتر (به ارزش حدود ۷۶۸۸۰۰ دلار) را از پلتفرم خارج کرد.پروتکل وامدهی دیفای Sturdy Finance هک شد و هکر موفق شد ۴۴۲ اتر (به ارزش حدود ۷۶۸
شرکتهای امنیتی بلاکچین مانند PeckShield و BlockSec درباره این حمله اطلاعرسانی کردند. تیم Sturdy Finance فعالیت پلتفرم را برای بررسی موضوع دقیقتر متوقف کرد.
این پروتکل امکان گرفتن وام با وثیقه گذاشتن توکنهای ارائهدهنده نقدینگی (LP) از صرافیهایی مانند Curve و Balancer را فراهم میکند. این برنامه غیرمتمرکز از دو شبکه برای وامدهی پشتیبانی میکند: اتریوم و استیبل کوینهای متصل به دلار.
Pgpsam، یکی از اعضای تیم اصلی استردی فایننس، در کانال دیسکورد این پروژه اشاره کرد که «طبق تحقیقات ما تاکنون، استیبل کوینها تحت تاثیر حمله قرار نگرفتهاند.»
ما از سوءاستفاده گزارش شده از پروتکل Sturdy آگاهیم. همه فعالیتها متوقف شدهاند. دیگر هیچ یک از وجوه در خطر نیست و لازم نیست کاربران هیج اقدامی انجام دهند. به محض دریافت اطلاعات بیشتر، آن را به اشتراک خواهیم گذاشت.
— استردی فایننس (@SturdyFinance) 12 ژوئن ۲۰۲۳
با این حال، چون فعالیتها متوقف شده است، کاربران استیبلکوین و اتر نمیتوانند از استخرهای استردی خارج شوند.
Pgpsam اضافه کرد:
اولویت ما در حال حاضر فهمیدن علت این حمله / نحوه جلوگیری از آن و ارتباط با هکر است.
حمله به استردی چگونه اتفاق افتاد؟
گزارشهای اولیه حاکی از آن است که مهاجم قیمت یک استخر وثیقه را دستکاری کرده و وجوه را از استردی خارج کرده است.
تیم BlockSec در گزارش توئیتری پس از واقعه این حمله صبح امروز نوشت این یک حمله ورود مجدد فقط به بالانسر بود. حمله ورود مجدد زمانی اتفاق میافتد که یک تابع قرارداد هوشمند با قرارداد دیگری تعامل داشته باشد و آن قرارداد قبل از اتمام اجرای آن به اولین قرارداد بازگردد.
در این مورد، مهاجم قبل از انجام تراکنشهای قبلی، بارها و بارها استخر B-stETH-STABLE را فراخوانی کرد و باعث شد که اوراکل قیمت استخر دچار اختلال شود و افزایش سهبرابری را نشان دهد.
مهاجم از B-stETH-STABLE به عنوان وثیقه برای وام گرفتن از Sturdy استفاده کرده بود. با افزایش قیمت آن، مهاجم وثیقه را از استخر استردی برداشت. در این مرحله، ارزش واقعی وثیقه آنها یک سوم مبلغ افزایشبافته است، که به هکر اجازه میدهد از این اختلاف قیمت سود ببرد.
مهاجم از آوه ۵۰۰۰۰ wstETH و ۶۰۰۰۰ WETH (به ارزش حدود ۱۹۱ میلیون دلار) برای انجام این حمله وام گرفت.
PeckShield گزارش داد که هکرها وجوه دزدیده شده را از طریق تورنادو کش منتقل کردند. دولت ایالات متحده سال گذشته تورنادو کش را به دلیل استفاده گروه هکر لازاروس از آن تحریم کرد.
پیشنهاد مطالعه: