攻击者从 DeFi 协议 Sturdy Finance 中盗取了 $800K

去中心化金融(DeFi)协议Sturdy Finance遭遇了一起安全漏洞,攻击者利用了漏洞,最终操纵了一个有缺陷的价格预言机,从协议中提取资金,共442个以太币(ETH),价值近80万美元。

6月12日,区块链安全公司PeckShield向Sturdy Finance发出警报,报告了一笔似乎与价格操纵有关的交易。几乎一个小时后,DeFi协议表示他们已经意识到了漏洞,并通过暂停所有市场并向其用户保证没有其他资金处于风险之中来做出回应。

我们知道Sturdy协议遭受了攻击。所有市场都已经暂停,没有其他资金处于风险之中,此时不需要采取任何用户行动。我们将在尽快获得信息时分享更多信息。

—Sturdy (@SturdyFinance) 2023年6月12日

尽管DeFi借贷平台做出了迅速的反应,但PeckShield确认攻击者能够将近80万美元的ETH转移到了加密混币器Tornado Cash。该安全公司还指出,漏洞的“根本原因”是一个有缺陷的价格预言机。

此外,区块链安全公司BlockSec强调,此次黑客攻击是通过重入攻击完成的,这是黑客从DeFi协议中提取资金的常见方法。

1/ @SturdyFinance 遭受了攻击,损失约为442 ETH。根本原因是由于典型的Balancer只读重入性,而B-stETH-STABLE的价格被操纵了! pic.twitter.com/5l9mVfhpQN

—BlockSec (@BlockSecTeam) 2023年6月12日

通过这种方法,黑客利用了在初始函数调用完成之前在单个事务中重复调用函数的能力。借此,黑客可以提取比应该可能的更多资金。

相关: Atomic Wallet黑客向Lazarus Group使用的混币器发送加密货币:Elliptic

与此同时,骗子们成功控制了8个知名加密社区成员的Twitter账户,并推广加密货币骗局。根据区块链侦探ZachXBT的说法,骗子们在接管著名DJ Steve Aoki、Pudgy Penguins创始人Cole Villemain和加密货币反对者Peter Schiff的账户后,已经窃取了近100万美元的加密货币。

另外,美国司法部最近指控了两名涉嫌参与Mt. Gox黑客攻击的男子。据该部门称,43岁的Alexey Bilyuchenko和29岁的Aleksandr Verner涉嫌盗窃和阴谋洗钱64.7万比特币(BTC)。

杂志: 一个装满爆米花桶里的34亿美元比特币——丝路黑客的故事