Sturdy Finance es un protocolo que permite a los usuarios pedir prestado y prestar criptoactivos utilizando tokens de proveedor de liquidez (LP) como garantía. El protocolo ofrece dos mercados: uno para Ethereum y otro para stablecoins. Sin embargo, el 12 de junio de 2023, el protocolo sufrió un importante exploit que resultó en la pérdida de 442 Ether (ETH), con un valor de alrededor de $800 000 en ese momento.

El exploit fue llevado a cabo por un atacante que se aprovechó de un oracle de precios defectuoso en el grupo B-stETH-STABLE, que es un grupo Balancer que contiene stETH y stablecoins. stETH es una versión tokenizada de ETH que acumula intereses al stakear en Ethereum 2.0. El atacante usó un préstamo rápido de Aave, una plataforma de préstamos, para pedir prestados 50 000 WstETH y 60 000 WETH (ETH wrapped) y los depositó en el grupo B-stETH-STABLE.

El Atacante se Aprovechó de una Debilidad en los Sistemas del Exchange

Luego, el atacante llamó repetidamente a la función de intercambio del grupo, lo que desencadenó un ataque de reingreso. Un ataque de reingreso es un tipo de exploit en la que un contrato malicioso vuelve a llamar a otro contrato antes de que el primer contrato finalice su ejecución, lo que provoca cambios inesperados en el estado del contrato. En este caso, el atacante manipuló el oracle de precios del grupo para inflar el valor de stETH tres veces.

Luego, el atacante retiró su garantía de Sturdy Finance, que se basó en el precio inflado de stETH. Como resultado, el atacante pudo retirar más ETH de los que depositó, dejando a Sturdy Finance con un déficit de 442 ETH. Luego, el atacante movió los fondos robados a través de Tornado Cash, un mixer de preservación de la privacidad que oscurece el vínculo entre las direcciones del remitente y el destinatario.

El equipo de Sturdy Finance respondió al exploit deteniendo todos los mercados en el protocolo e iniciando una investigación. El equipo también ofreció una recompensa de $100,000 al pirata informático que realizó el exploit o a cualquier persona que pueda ayudar a recuperar los fondos o realizar un arresto. El equipo declaró que no emprenderá ninguna acción legal si el pirata informático devuelve los fondos voluntariamente.

The stablecoin market is now unpaused, enabling users in this market to access their funds!

No funds in this market were ever at risk; the market was only paused out of an abundance of caution. As an additional safety measure, the bb-a-USD pool has been disabled ? pic.twitter.com/uRL0gKQSEJ

— Sturdy ? (@SturdyFinance) June 16, 2023

Sturdy Finance, un mercado de stablecoins, reanudó sus operaciones el 16 de junio de 2023. Los usuarios ahora pueden retirar y depositar sus fondos. El equipo aseguró a los usuarios que ningún fondo en este mercado estuvo nunca en riesgo y que la decisión de pausar el mercado se tomó por precaución. El equipo también deshabilitó el grupo bb-a-USD, que es otro grupo de Balancer que contiene bUSD y USDC.