Protocole de finance décentralisée (DeFi) Sturdy Finance a perdu 442 Ether (ETH), d’une valeur de près de 800 000 $ lors de l’écriture, à cause d’un exploit de sécurité. L’attaquant a exploité une vulnérabilité qui a finalement manipulé un oracle de prix défectueux, leur permettant de drainer des fonds du protocole.
Le 12 juin, la société de sécurité blockchain PeckShield alerté Sturdy Finance et a signalé une transaction qui semblait être liée à la manipulation des prix. Près d’une heure plus tard, le protocole DeFi a déclaré qu’il était au courant de l’exploit et a répondu en mettant en pause tous ses marchés et en assurant à ses utilisateurs qu’aucun fonds supplémentaire n’était en danger.
Nous sommes au courant de l’exploit rapporté du protocole Sturdy. Tous les marchés ont été suspendus ; aucun fonds supplémentaire n’est à risque et aucune action de l’utilisateur n’est requise pour le moment.
Nous partagerons plus d’informations dès que nous les aurons.
– Robuste (@SturdyFinance) 12 juin 2023
Malgré une réponse rapide de la plateforme de prêt DeFi, PeckShield confirmé que l’attaquant a pu transférer près de 800 000 $ en ETH au mélangeur crypto Tornado Cash. La société de sécurité a également noté que la « cause profonde » de l’exploit était un oracle de prix défectueux.
De plus, la société de sécurité blockchain BlockSec a souligné que le piratage a été effectué via une attaque de réentrance, qui est une méthode courante utilisée par les pirates pour retirer des fonds des protocoles DeFi.
1/ @SturdyFinance a été attaqué et la perte est d’environ 442 ETH. La cause première est due à la réentrance typique en lecture seule du Balancer, alors que le prix de B-stETH-STABLE a été manipulé ! pic.twitter.com/5l9mVfhpQN
– BlockSec (@BlockSecTeam) 12 juin 2023
Grâce à cette méthode, les pirates exploitent la possibilité d’appeler de manière répétée une fonction dans une seule transaction avant que l’appel de fonction initial ne soit terminé. Avec cela, les pirates peuvent retirer plus de fonds qu’il ne devrait être possible.
En rapport: Le pirate Atomic Wallet envoie la cryptographie au mélangeur utilisé par le groupe Lazarus : Elliptic
Pendant ce temps, les escrocs ont pu prendre le contrôle de huit comptes Twitter de membres éminents de la communauté crypto et promouvoir les escroqueries crypto. Selon le détective de la blockchain ZachXBT, les escrocs ont volé près d’un million de dollars en crypto après avoir pris le contrôle des comptes du célèbre DJ Steve Aoki, du fondateur de Pudgy Penguins, Cole Villemain, et même du crypto hater Peter Schiff.
Par ailleurs, le ministère de la Justice des États-Unis a récemment inculpé deux hommes qui seraient impliqués dans le piratage de Mt. Gox. Selon le département, Alexey Bilyuchenko, 43 ans, et Aleksandr Verner, 29 ans, auraient volé et conspiré pour blanchir 647 000 Bitcoin (BTC).
Magazine: 3,4 milliards de dollars de Bitcoin dans une boîte de pop-corn – L’histoire du hacker de Silk Road