O protocolo de finanças descentralizadas Sturdy Finance perdeu 442 Ether devido a uma falha de segurança, com o valor total avaliado em mais de US$ 800.000. O hacker aproveitou uma brecha para manipular um oráculo de preços falho, o que acabou permitindo que ele desviasse dinheiro do protocolo.
A empresa de segurança blockchain PeckShield informado Financiamento robusto de uma transação que parecia estar ligada à manipulação de preços em 12 de junho. Depois de saber do ataque pouco mais de uma hora depois, o protocolo DeFi respondeu interrompendo todos os seus mercados e garantiu a seus clientes que nenhum fundo adicional estava em risco .
Estamos cientes da exploração relatada do protocolo Sturdy. Todos os mercados foram pausados; nenhum fundo adicional está em risco e nenhuma ação do usuário é necessária neste momento.
Estaremos compartilhando mais informações assim que as tivermos.
— Robusto 🧱 (@SturdyFinance) 12 de junho de 2023
Os oráculos de preços desempenham um papel significativo em aplicativos de finanças descentralizadas (DeFi), como o Sturdy Finance, fornecendo dados reais de preços. No entanto, eles também podem ser um dos principais alvos de hackers que procuram tirar proveito de falhas e, ao mesmo tempo, comprometer a segurança da plataforma.
Reações rápidas não economizaram $ 800.000
PeckShield revelou que o invasor conseguiu mover cerca de US$ 800.000 em ETH para o misturador de criptomoedas Tornado Cash, apesar de uma resposta imediata da rede de empréstimos DeFi. A empresa de segurança acrescentou que um oráculo de preço falho era a “causa raiz” do exploit.
Os ataques de reentrância, que são frequentemente usados para sacar dinheiro de forma fraudulenta por meio de protocolos DeFi, foram usados para lançar o ataque à Sturdy Finance. Esse tipo de ataque faz uso da capacidade de fazer várias chamadas para a mesma função em uma única transação antes que a chamada de função inicial seja concluída.
O invasor conseguiu extrair mais dinheiro do que era legalmente permitido, aproveitando essa falha.
O invasor então usou seu controle sobre as chamadas de função para aproveitar o oráculo de preços. A Sturdy Finance derivou seu oráculo de preços de um segundo contrato inteligente “somente leitura”, que era responsável por estimar de forma confiável o valor de mercado dos ativos em um pool de liquidez administrado pelo protocolo Balancer. No entanto, o invasor conseguiu desviar dinheiro da Sturdy Finance ao manipular com sucesso o oráculo.
A empresa de segurança blockchain BlockSec também enfatizou que o hack foi executado usando um ataque de reentrância, que é uma técnica típica que os hackers empregam para obter dinheiro por meio de protocolos DeFi.
Oito membros proeminentes das contas do Twitter da comunidade de criptomoedas foram invadidos por golpistas recentemente, que os usaram para espalhar seus esquemas. O detetive de Blockchain ZachXBT afirma que depois de hackear as contas do conhecido DJ Steve Aoki, do empresário Pudgy Penguins Cole Villemain e até mesmo do cripto-crítico Peter Schiff, os hackers levaram aproximadamente US$ 1 milhão em criptomoedas.
O incidente serve como um lembrete das dificuldades e perigos contínuos do dinheiro descentralizado, bem como do valor de fortes medidas de segurança.
