攻撃者が、DeFiプロトコルのSturdy Financeから80万ドルを抜き取りました

分散型金融(DeFi)プロトコルのSturdy Financeは、セキュリティ上の脆弱性を悪用され、誤った価格オラクルを操作された結果、442イーサリアム(ETH)(作成時点で約80万ドル)を失いました。攻撃者は、プロトコルから資金を引き出すことができました。

6月12日、ブロックチェーンセキュリティ企業PeckShieldはSturdy Financeに警告を発し、価格操作に関連するトランザクションを報告しました。ほぼ1時間後、DeFiプロトコルは、攻撃を認識し、すべての市場を一時停止し、追加の資金が危険にさらされていないことをユーザーに保証しました。

Sturdyプロトコルの攻撃について報告されていることを認識しています。すべての市場が一時停止されました。追加の資金は危険にさらされていないため、現時点ではユーザーアクションは不要です。私たちは情報を入手次第、さらに情報を共有します。

— Sturdy (@SturdyFinance) June 12, 2023

DeFi貸付プラットフォームの迅速な対応にもかかわらず、PeckShieldは、攻撃者が約80万ドル相当のETHを暗号マイクサーTornado Cashに移行できたことを確認しました。セキュリティ企業はまた、攻撃の「根本原因」が誤った価格オラクルであることを指摘しました。

さらに、ブロックチェーンセキュリティ企業のBlockSecは、このハッキングがDeFiプロトコルから資金を引き出すためにハッカーが使用する一般的な方法である再入攻撃を介して行われたことを強調しました。

1/ @SturdyFinance が攻撃され、損失は約442 ETHです。根本原因は、通常のBalancerの読み取り専用再入であり、B-stETH-STABLEの価格が操作されました! pic.twitter.com/5l9mVfhpQN

— BlockSec (@BlockSecTeam) June 12, 2023

この方法により、ハッカーは初回の関数呼び出しが完了する前に、単一のトランザクションで関数を繰り返し呼び出すことができます。これにより、ハッカーは可能な限りより多くの資金を引き出すことができます。

関連記事:Atomic Walletのハッカー、Lazarus Groupが使用するマイクサーに暗号通貨を送信:Elliptic

一方、詐欺師たちは、有名な仮想通貨コミュニティメンバーの8つのTwitterアカウントを乗っ取り、仮想通貨詐欺を宣伝することができました。ブロックチェーンディテクティブのZachXBTによると、詐欺師たちは有名なDJ Steve Aoki、Pudgy Penguinsの創設者Cole Villemain、そして仮想通貨嫌いのPeter Schiffのアカウントを乗っ取った後、ほぼ100万ドル相当の仮想通貨を盗み出しました。

その他のニュースとして、アメリカ司法省は最近、Mt.Goxハッキングに関与したとされる2人の男性を起訴しました。43歳のAlexey Bilyuchenkoと29歳のAleksandr Vernerは、647,000ビットコイン(BTC)を盗んで洗浄しようと共謀したとされています。

雑誌:ポップコーン缶に3.4億ドルのビットコイン – シルクロードハッカーの物語