DeFi 借贷协议稳固的融资受到攻击，损失超过 75 万美元

DeFi 借贷协议 Sturdy Finance 受到攻击，该漏洞从该平台耗尽了 442 ETH（价值约 768,800 美元）。

PeckShield和BlockSec等区块链安全公司强调了该漏洞；Sturdy Finance 团队在调查此问题时承认黑客入侵并暂停了 DeFi 平台上的活动。 

该协议允许从Curve和Balancer等交易所借入流动性提供者 (LP) 代币作为抵押品。去中心化应用程序提供两个借贷市场——以太坊和与美元挂钩的稳定币。

Sturdy Finance 核心团队成员 pgpsam在该项目的 Discord 频道中指出，“从我们目前的调查来看，稳定币市场并未受到影响。”

但是，尽管活动仍处于暂停状态，但稳定币和 ETH 用户无法从 Sturdy 的矿池中退出。

Pgpsam补充说，“我们现在的首要任务是了解漏洞利用/如何缓解它以及与黑客的沟通。” 

漏洞利用是如何发生的？ 

初步报告表明，攻击者操纵了抵押品池的价格预言机，并从 Sturdy 窃取了资金。 

BlockSec 团队今天早上在 Twitter 上发布了此次攻击的事后分析报告，指出这是一次“典型的 Balancer 只读重入”攻击。 

当智能合约功能与另一个合约交互时，就会发生重入攻击，并且另一个合约在完成执行之前回调第一个合约。

在这种情况下，攻击者在执行之前的交易之前反复调用 B-stETH-STABLE 池，导致池的价格预言机发生故障并反映出三倍的涨幅。 

攻击者使用 B-stETH-STABLE 作为抵押品在 Sturdy 上借款。随着其价格上涨，攻击者从 Sturdy 的资金池中提取了抵押品。此时，他们抵押品的实际价值是其虚增金额的三分之一，黑客可以从中获利。 

攻击者从Aave获得了 50,000 wstETH 和 60,000 WETH（价值约 1.91 亿美元）的快速贷款来进行攻击。 

PeckShield报告说，利用者通过 Tornado Cash 转移了被盗资金，Tornado Cash 是一种以太坊 混合器，通过模糊发送者和接收者地址之间的链接，在交易中增加了一层隐私。

由于朝鲜黑客组织 Lazarus 使用 Tornado Cash，美国政府去年对其实施了制裁。