Sturdy Finance – một dự án DeFi hứa hẹn đòn bẩy lên tới 10 lần đối với các tài sản đặt cược – đã bị khai thác bởi một cuộc tấn công hit-and-run vào các Oracle định giá của nó.
Mặc dù số tiền bị đánh cắp (trị giá khoảng 800.000 USD tại thời điểm viết bài) không đáng kể so với các cuộc tấn công khác, chẳng hạn như cuộc tấn công vào người dùng Atomic Wallet mới tuần trước, nhưng nó đồng thời cũng đảm bảo rằng việc rửa tiền sẽ không khó khăn như những vụ tấn công đánh cắp được nhiều tiền hơn.
Thao túng giá
Cuộc tấn công vào Sturdy Finance được thực hiện thông qua khai thác reentrancy, một phương pháp phổ biến để tấn công các dự án DeFi, bằng cách gọi liên tục một chức năng trong hợp đồng thông minh trước khi cuộc gọi ban đầu hoàn tất.
Để tấn công Sturdy Finance, trước tiên, tin tặc đã thiết lập tạo ra lỗ hổng với Oracle giá của giao thức – một phần trong hệ sinh thái của Sturdy xác định giá trị hiện tại của tài sản sẽ được sử dụng trong giao dịch và cho vay – để khai thác reentrancy. Sau khi lỗ hổng được thiết lập, một khoản vay nhanh từ AAVE đã cung cấp tính thanh khoản cần thiết cho cuộc tấn công.
Điều này cho phép kẻ xấu rút nhiều tiền hơn mức mà hợp đồng thông minh cho phép. Trong trường hợp này, giá của Ether đã đặt cọc (stETH) đã bị thao túng ba lần liên tiếp để cho phép kẻ xấu rút nhiều hơn số tiền cho phép của khoản vay, trả hết khoản vay ban đầu và rút tiền mặt từ khoản tiền bổ sung. Quá trình này sau đó được lặp lại năm lần, mỗi lần sử dụng một hợp đồng thông minh khác nhau.
Việc khai thác đã dẫn đến việc Sturdy tổn thất 442 ETH, một khoản tiền đang trên đường đến Tornado Cash.
Công cuộc điều tra đang được tiến hành
Nhóm bảo mật tại Sturdy xác nhận rằng việc khai thác đã được ghi nhận và hoạt động của họ đã bị tạm dừng trong thời điểm này để tiến hành điều tra. Nhóm cũng khẳng định rằng hiện tại không có khoản tiền nào khác có nguy cơ bị đánh cắp.
“Chúng tôi đã biết về vụ khai thác. Tất cả các thị trường đã bị tạm dừng; không có khoản tiền bổ sung nào gặp rủi ro và không có hành động nào của người dùng được yêu cầu tại thời điểm này. Chúng tôi sẽ chia sẻ ngay khi có thêm thông tin.”
Cộng đồng của Sturdy rất khó chịu trước tin tức này, khi một số người dùng tuyên bố không tin rằng các cuộc tấn công điển hình của kỷ nguyên bùng nổ shitcoin năm 2017 vẫn đang diễn ra cho đến ngày nay.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork