Sturdy Finance, một giao thức cho vay phi tập trung, đã trở thành nạn nhân của một cuộc tấn công bảo mật ngày hôm nay, dẫn đến mất 442 Ether hoặc khoảng 800,000 USD.
Kẻ tấn công không xác định đã lợi dụng lỗ hổng reentrancy mà sau này đã tạo điều kiện thuận lợi cho việc thao túng một faulty price oracle, do đó cho phép chúng rút tiền.
Trong các ứng dụng tài chính phi tập trung (DeFi), price oracle đóng vai trò then chốt vì chúng cung cấp dữ liệu giá trong thế giới thực. Tuy nhiên, chúng cũng là mục tiêu tiềm năng cho tin tặc có thể khai thác chúng.
Cuộc tấn công vào Sturdy Finance được bắt đầu bằng một cuộc tấn công reentrancy, một phương pháp thường được sử dụng để rút tiền bất hợp pháp từ các giao thức DeFi.
Kiểu tấn công này tận dụng khả năng được gọi là một chức năng lặp đi lặp lại trong một giao dịch trước khi cuộc gọi chức năng ban đầu được hoàn thành.
Đổi lại, điều này cho phép kẻ tấn công rút nhiều tiền hơn số tiền mà họ được hưởng một cách hợp pháp.
Sau khi kẻ tấn công thiết lập khả năng thao túng các lệnh gọi hàm, sau đó chúng tiến hành khai thác price oracle. Price oracle của Sturdy Finance, bắt nguồn từ một hợp đồng thông minh “read-only” riêng biệt, đã bị thao túng.
Price oracle này được thiết kế để xác định giá trị thị trường chính xác của tài sản trong liquidity pool do nhóm của Sturdy quản lý trên sàn giao dịch phi tập trung Balancer, do đó tạo điều kiện thuận lợi cho giao dịch staked Ether (stETH).
Tuy nhiên, việc khai thác oracle đã cho phép kẻ tấn công rút tiền từ Sturdy, theo công ty bảo mật BlockSec.
BlockSec tuyên bố, “Nguyên nhân sâu xa là do khả năng truy cập lại read-only reentrancy của Balancer, trong khi giá của B-stETH-STABLE đã bị thao túng.”
Tin Tức Bitcoin tổng hợp.
