Giao thức cho vay Sturdy Finance bị exploit do một lỗ hổng oracle, thất thoát 442 ETH, tương đương 800.000 USD.
Sturdy Finance bị tấn công oracle, thiệt hại 442 ETH
Theo báo cáo từ đơn vị bảo mật BlockSec, nền tảng lending Sturdy Finance vào ngày 12/06 đã bị tin tặc chiếm quyền kiểm soát hệ thống oracle, hiển thị sai giá và từ đó bòn rút thành công số tiền 800.000 USD.
Cụ thể, kẻ tấn công đã lợi dụng lỗ hổng tái nhập (reentrancy attack), lặp đi lặp lại lệnh rút tiền trước khi oracle cập nhật đúng số dư. Tin tặc đã thực hiện hành vi thao túng oracle này và khiến nó hiển thị sai giá tài sản, trong trường hợp này là stETH trong pool B-stETH-STABLE, cuối cùng là hắn đã trót lọt rút tiền ra khỏi nền tảng.
Lần theo dữ liệu on-chain, kẻ tấn công kế đó đã thông qua công cụ trộn tiền Tornado Cash để xoá vết tiền và chuyển chúng vào sàn giao dịch Change Now.
Phía Sturdy Finance cũng đã nhanh chóng phản ứng với vụ việc, cho dừng tất cả dịch vụ của mình nhằm ngăn chặn những mất mát tiềm tàng. Nền tảng cho vay đồng thời cam đoan số tiền còn lại của người vẫn đang an toàn.
Theo BlockSec, tin tặc đã vay flash loan hơn 100.000 ETH từ Aave để chuẩn bị cho phi vụ của mình. Cụ thể đường đi nước bước được đơn vị tường thuật lại như hình bên dưới.
