Sturdy Financeがハッキングに陥り、80万ドルのETHが流出

分散型金融プロトコル Sturdy Finance はセキュリティ上の欠陥により 442 イーサを失い、その総額は 80 万ドル以上に相当します。 ハッカーは抜け穴を利用して欠陥のある価格オラクルを操作し、最終的にはプロトコルから資金を吸い上げることができました。

ブロックチェーンセキュリティ会社 PeckShield 知らされた 6月12日の価格操作に関連していると思われる取引のSturdy Finance。1時間強後に攻撃を知った後、DeFiプロトコルはすべての市場を停止することで対応し、追加の資金が危険にさらされていないことを顧客に保証した。

私たちは、Sturdy プロトコルの悪用が報告されていることを認識しています。 すべての市場は停止されました。 追加の資金が危険にさらされることはなく、現時点ではユーザーのアクションは必要ありません。

さらに詳しい情報が入り次第、共有させていただきます。

— 頑丈🧱 (@SturdyFinance) 2023 年 6 月 12 日

価格オラクルは、実際の価格データを提供することで、Sturdy Finance のような分散型金融 (DeFi) アプリケーションで重要な役割を果たします。 ただし、プラットフォームのセキュリティを危険にさらしながら欠陥を利用しようとするハッカーにとって、これらは最大の標的になる可能性もあります。

迅速な対応では 80 万ドルを節約できなかった

PeckShieldは、DeFi融資ネットワークからの迅速な対応にもかかわらず、攻撃者が仮想通貨ミキサーTornado CashにETH約80万ドルを移動させることができたと明らかにした。 セキュリティ会社は、欠陥のある価格オラクルがこのエクスプロイトの「根本原因」であると付け加えた。

DeFiプロトコルを介して不正に資金を引き出すために頻繁に使用されるリエントランシー攻撃が、Sturdy Financeへの攻撃を開始するために使用されました。 この種の攻撃は、最初の関数呼び出しが終了する前に、単一トランザクション内で同じ関数を何度も呼び出す機能を利用します。

攻撃者はこの欠陥を利用して、法的に許可されている以上の金銭を引き出すことができました。

その後、攻撃者は関数呼び出しの制御を利用して、価格設定のオラクルを利用しました。 Sturdy Finance は、Balancer プロトコルによって実行される流動性プール内の資産の市場価値を確実に見積もる役割を担う 2 番目の「読み取り専用」スマート コントラクトから価格オラクルを導き出しました。 しかし、攻撃者はオラクルをうまく操作することで、Sturdy Finance から資金を吸い上げることができました。

ブロックチェーンセキュリティ企業 BlockSec も強調した このハッキングは、ハッカーが DeFi プロトコルを通じて資金を搾取するために使用する典型的な手法であるリエントラント攻撃を使用して実行されたとのことです。

最近、仮想通貨コミュニティの Twitter アカウントの 8 人の著名なメンバーが詐欺師によって乗っ取られ、詐欺計画を広めるために使用されました。 ブロックチェーン探偵のZachXBTは、ハッカーが著名なDJスティーブ・アオキ、プッジー・ペンギンズの起業家コール・ヴィルメイン、さらには仮想通貨評論家のピーター・シフのアカウントをハッキングした後、約100万ドルの仮想通貨を奪ったと主張している。

この事件は、分散型マネーの継続的な困難と危険性、そして強力なセキュリティ対策の価値を思い出させるものとなっています。

これは英語版からの翻訳です。