El protocolo de finanzas descentralizadas Sturdy Finance ha perdido 442 Ether debido a una falla de seguridad, con el monto total valorado en más de $ 800,000. El pirata informático aprovechó una laguna para manipular un oráculo de precios defectuoso, lo que finalmente le permitió desviar dinero del protocolo.
La empresa de seguridad blockchain PeckShield informado Sturdy Finance de una transacción que parecía estar relacionada con la manipulación de precios el 12 de junio. Después de enterarse del ataque poco más de una hora después, el protocolo DeFi respondió deteniendo todos sus mercados y aseguró a sus clientes que no hay fondos adicionales en riesgo. .
Somos conscientes de la explotación denunciada del protocolo Sturdy. Todos los mercados han sido pausados; no hay fondos adicionales en riesgo y no se requieren acciones del usuario en este momento.
Estaremos compartiendo más información tan pronto como la tengamos.
— Robusto ? (@SturdyFinance) 12 de junio de 2023
Los oráculos de precios juegan un papel importante en las aplicaciones de finanzas descentralizadas (DeFi) como Sturdy Finance al proporcionar datos de precios reales. Sin embargo, también pueden ser un objetivo principal para los piratas informáticos que buscan aprovechar las fallas y al mismo tiempo poner en peligro la seguridad de la plataforma.
Las reacciones rápidas no podrían ahorrar $ 800K
PeckShield reveló que el atacante pudo mover alrededor de $ 800,000 en ETH al mezclador de criptomonedas Tornado Cash, a pesar de una respuesta rápida de la red de préstamos DeFi. La compañía de seguridad agregó que un oráculo de precios defectuoso era la «causa raíz» del exploit.
Los ataques de reingreso, que se utilizan con frecuencia para retirar dinero de manera fraudulenta a través de los protocolos DeFi, se utilizaron para lanzar el ataque contra Sturdy Finance. Este tipo de ataque hace uso de la capacidad de realizar muchas llamadas a la misma función dentro de una sola transacción antes de que finalice la llamada de función inicial.
El atacante pudo extraer más dinero del que estaba legalmente permitido aprovechando esta falla.
Luego, el atacante usó su control sobre las llamadas a funciones para aprovechar el oráculo de precios. Sturdy Finance derivó su oráculo de precios de un segundo contrato inteligente de «solo lectura», que estaba a cargo de estimar de manera confiable el valor de mercado de los activos en un grupo de liquidez administrado por el protocolo Balancer. Sin embargo, el atacante pudo desviar dinero de Sturdy Finance manipulando con éxito el oráculo.
La firma de seguridad blockchain BlockSec también enfatizó que el pirateo se llevó a cabo mediante un ataque de reentrada, que es una técnica típica que emplean los piratas informáticos para obtener dinero a través de los protocolos DeFi.
Los estafadores se apoderaron recientemente de las cuentas de Twitter de ocho miembros destacados de la comunidad de criptomonedas y las usaron para difundir sus esquemas de estafa. El detective de blockchain ZachXBT afirma que después de piratear las cuentas del conocido DJ Steve Aoki, el empresario de Pudgy Penguins Cole Villemain e incluso el criptocrítico Peter Schiff, los piratas informáticos se llevaron aproximadamente $ 1 millón en criptomonedas.
El incidente sirve como un recordatorio de las dificultades y los peligros actuales del dinero descentralizado, así como del valor de las fuertes medidas de seguridad.
Esta es una traducción automática de nuestra versión en inglés.
