وقع Sturdy Finance، وهو بروتوكول إقراض لامركزي، ضحية لهجوم أمني اليوم. نتج عن ذلك فقدان 442 إيثر أو حوالي 800 ألف. استغل مهاجم غير معروف ثغرة أمنية في إعادة الدخول سهلت لاحقًا التلاعب الخاطئ في سعر أوراكل. وبالتالي تمكينهم من سرقة الأموال.
في تطبيقات التمويل اللامركزية. يعد Oracle Price محوريًا لأنه يوفر بيانات الأسعار في العالم الحقيقي. ومع ذلك، فهو يمثل أيضًا هدفًا محتملاً للمتسللين الذين يمكنهم استغلاله.
بدأ الهجوم على Sturdy Finance بهجوم عودة. إنها طريقة شائعة الاستخدام لسحب الأموال بشكل غير قانوني من بروتوكولات DeFi. يستفيد هذا الهجوم من القدرة على استدعاء دالة بشكل متكرر داخل معاملة واحدة قبل اكتمال استدعاء الوظيفة الأصلي. وهذا بدوره يسمح للمهاجم بسحب أموال أكثر مما يحق له قانونًا.
بعد أن أظهر المهاجم القدرة على التعامل مع استدعاءات الوظائف. ثم استغل سعر الوحي. تم التلاعب بسعر أوراكل الخاص بـ Sturdy Finance، المشتق من عقد ذكي منفصل “للقراءة فقط”.
تم تصميم هذا أوراكل لتحديد القيمة السوقية الدقيقة للأصول في تجمع سيولة يديره فريق Sturdy Finance في منصة التداول اللامركزية Balancer. هذا يسهل تداول الأثير. ومع ذلك، فإن استغلال أوراكل مكّن المهاجم من استنزاف الأموال من Sturdy Finance، وفقًا لشركة الأمان BlockSec.
ذكرت BlockSec أن “السبب الجذري يرجع إلى إعادة إدخال للقراءة فقط في الموازن النموذجي. بينما تم التلاعب بسعر B-stETH-STABLE. “
بروتوكول قوي يوقف الأسواق، رد التمويل القوي على الهجوم بتعليق جميع أسواقه لمنع المزيد من الخسائر المحتملة. وأكدت لمستخدميها أنه لا توجد أموال أخرى معرضة للخطر نتيجة الاختراق.
تم تعليق جميع الأسواق مؤقتًا. قال الفريق “ليس هناك أموال إضافية على المحك. لا يلزم المستخدم اتخاذ أي إجراء في الوقت الحالي “. “سوف نشارك المزيد من المعلومات بمجرد حصولنا عليها.”
بعد الهجوم، تُظهر البيانات الموجودة على السلسلة أن المهاجم استخدم خلاط Tornado Cash لإخفاء النشاط.
في عام 2022، جمعت Sturdy Finance 3 ملايين دولار في سلسلة من الجولات لبناء منصة إقراض وإقراض بدون فوائد. قادت بانتيرا التمويل وشهدت أيضًا مشاركة من Y Combinator و SoftBank’s Opportunity Fund و KuCoin Ventures.
أفق التشفير
مصدر