Sturdy Finance потерял в результате атаки около $770 000

Лендинговый DeFi-протокол Sturdy Finance стал жертвой атаки, которая привела к потере ~442 ETH (примерно $770 000 на момент написания).

1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN

По данным специалистов BlockSec, неизвестный воспользовался ошибкой повторного входа на Balancer и манипулированием ценовым оракулом для изменения цены B-stETH-STABLE.

Согласно экспертам, последовательность действий хакера была следующей:

1. Получил флеш-кредит на Aave в сумме 50 000 wstETH и 60 000 WETH.
2. Внес 1100 ETH в пул для выпуска 1023 steSRV.
3. Добавил 50 000 wstETH и 57 000 WETH в пул B-stETH-STABLE на Balancer для выпуска 109 517 токенов.
4. Депонировал в качестве обеспечения в Sturdy 1000 steSRV и 233 B-stETH-STABLE.
5. Заимствовал под этот залог 513 WETH.
6. Через манипуляцию оракулом завысил цену B-stETH-STABLE настолько, чтобы 1000 steSRV уже не были нужны в качестве обеспечения и вывел активы.
7. После возврата цены B-stETH-STABLE к нормальным значениям ликвидировал долговую позицию на 236 WETH, отозвав 233 B-stETH-STABLE.
8. Злоумышленник повторил шаги 3-7 с пятью разными контрактами.
9. Погасил флеш-кредит на Aave и зафиксировал прибыль от атаки.

Команда Sturdy Finance подтвердила инцидент и пообещала поделится информацией позже.

"Мы знаем об обнаруженной уязвимости протокола. Все рынки приостановлены, в настоящее время нет дополнительного риска для средств, никаких действий от пользователей не требуется", — заявили разработчики.

We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.

We will be sharing more information as soon as we have it.

Ряд пользователей в комментариях сообщил, что не может вывести средства из протокола.

Ончейн-данные показывают, что атаковавший Sturdy Finance отправил выведенные средства в сервис микширования Tornado Cash.  

Напомним, 20 мая неизвестный захватил контроль над Ethereum-миксером. Через день он неожиданно внес на рассмотрение ДАО предложение, реализация которого откатывала внесенные изменения и возвращала управление протокола держателям токена TORN.

Предложение поддержали 100% принявших участие в голосовании и неизвестный выполнил обещание, вернув контроль ДАО.