DeFi 协议Sturdy Finance 利用价值近 80 万美元的 442 ETH

DeFi 协议是通过重入漏洞的利用，目标是 Sturdy 的定价预言机。

Sturdy Finance 一个承诺对质押资产提供高达 10 倍杠杆的 DeFi 项目，已被对其定价预言机的肇事逃逸攻击所利用。

尽管被盗金额（在撰写本文时价值约 80 万美元）与其他更引人注目的攻击（如上周针对Atomic 钱包用户的攻击）相比相形见绌，但它也确保洗钱利润不会接近对盗取更大收益的网络罪犯来说，这同样困难重重。

价格操纵

对 Sturdy Finance 的攻击是通过重入利用进行的，这是一种攻击 DeFi 项目的常用方法，需要在原始调用完成之前重复调用智能合约中的函数。

为了攻击 Sturdy Finance，黑客首先确定了协议价格预言机的漏洞，Sturdy 生态系统的一部分，它决定了用于交易和贷款的资产的当前价值，以进行重入攻击。一旦漏洞被确定，来自 AAVE 的快速贷款提供了攻击所需的流动性。

这允许不良行为者提取比智能合约允许的更多的资金。在这种情况下，质押的以太币 (stETH) 的价格连续三次被操纵，以使不良行为者能够提取超过贷款应允许的金额，还清原始贷款，并兑现额外的资金。然后这个过程重复了五次，每次都使用不同的智能合约。

该漏洞导致 Sturdy 损失了 442 ETH，这是一个已经在前往 Tornado Cash 的路上的外卖。

验尸正在进行中

Sturdy 的安全团队确认已注意到该漏洞，并且他们的操作已暂时暂停以进行适当的事后分析。该团队还断言，目前没有其他资金有被盗的风险。

“我们知道报告的 Sturdy 协议漏洞。所有市场都已暂停；没有额外的资金有风险，此时不需要用户操作。我们将在获得更多信息后立即分享。”

Sturdy 的社区对这一消息感到不安是可以理解的，一些用户声称不相信 2017 年垃圾币繁荣时代的典型攻击今天仍在发生。