" Протокол децентрализованных финансов (DeFi) Sturdy Finance потерял 442 эфира (ETH) на сумму почти 800 000 долларов из-за эксплойта безопасности. Злоумышленник воспользовался уязвимостью, которая в конечном итоге манипулировала ошибочным ценовым оракулом, что позволило вывести средства из протокола.
12 июня компания по обеспечению безопасности блокчейнов PeckShield предупредила Sturdy Finance и сообщила о транзакции, которая, по-видимому, была связана с манипулированием ценами. Почти час спустя разработчики протокола DeFi заявили, что им известно об эксплоите, и в ответ приостановили все свои рынки и заверили пользователей, что никакие дополнительные средства не подвергаются риску.
«Нам известно об обнаруженной уязвимости протокола Sturdy. Все рынки приостановлены; в настоящее время нет риска потери дополнительных средств, и никаких действий пользователя не требуется. Мы поделимся дополнительной информацией, как только она у нас появится», – говорится в сообщении Sturdy (@SturdyFinance) 12 июня 2023 г.
Несмотря на быстрый ответ кредитной платформы DeFi, PeckShield подтвердил, что злоумышленник смог перевести ETH почти на $800 000 в криптомиксер Tornado Cash (TORN). Компания также отметила, что «основной причиной» эксплойта был ошибочный ценовой оракул.
Кроме того, компания BlockSec, занимающаяся безопасностью блокчейна, подчеркнула, что взлом был осуществлен с помощью атаки повторного входа, которая является распространенным методом, используемым хакерами для вывода средств из протоколов DeFi.
«Sturdy Finance подверглась атаке, и потери составили ~442 ETH. Основная причина связана с типичным повторным входом Balancer только для чтения, в то время как цена B-stETH-STABLE была изменена!», – говорится в сообщении BlockSec (@BlockSecTeam) 12 июня 2023 г.
С помощью этого метода хакеры используют возможность многократного вызова функции в одной транзакции до завершения первоначального вызова функции. При этом хакеры могут вывести больше средств, чем это возможно.
Тем временем мошенники смогли получить контроль над восемью учетными записями в Твиттере известных членов криптосообщества и продвигать крипто-мошенничество.
По словам блокчейн-детектива ZachXBT, мошенники украли почти 1 миллион долларов в криптовалюте после того, как взяли под контроль учетные записи известного ди-джея Стива Аоки, основателя Pudgy Penguins Коула Виллемейна и даже криптоненавистника Питера Шиффа.
Из других новостей: министерство юстиции США недавно предъявило обвинения двум мужчинам, предположительно причастным к взлому Mt.Gox. По данным ведомства, 43-летний Алексей Билюченко и 29-летний Александр Вернер якобы похитили и вступили в сговор с целью отмывания 647 000 биткойнов (BTC).
