Эксплойт Sturdy Finance: Как манипуляция ценовым оракулом выявила уязвимости DeFi

Обзор B-stETH-Stable и его роли в протоколах кредитования DeFi

B-stETH-Stable — это пул залогов, широко используемый в протоколах кредитования децентрализованных финансов (DeFi), включая платформы, такие как Sturdy Finance. Эти пулы залогов позволяют пользователям депонировать активы, которые затем используются для обеспечения займов или генерации дохода. Как краеугольный камень экосистем DeFi, B-stETH-Stable способствует предоставлению ликвидности и поддерживает деятельность по кредитованию и заимствованию без посредников. Он тесно интегрирован с основными платформами DeFi, такими как Curve и Balancer, которые играют ключевую роль в предоставлении ликвидности и торговле.

Основные характеристики B-stETH-Stable

• Залог: Пользователи могут депонировать стейкнутый ETH (stETH) для обеспечения займов или получения дохода.

• Интероперабельность: Легко интегрируется с другими платформами DeFi, такими как Curve и Balancer.

• Предоставление ликвидности: Играет критическую роль в поддержании ликвидности в протоколах DeFi.

Подробности эксплойта Sturdy Finance и его последствия

Недавно Sturdy Finance столкнулся с серьезным эксплойтом, нацеленным на пул залогов B-stETH-Stable. Злоумышленник манипулировал ценовым оракулом, связанным с пулом, искусственно утроив стоимость залога. Это позволило злоумышленнику вывести завышенный залог, что привело к потере 442 ETH, оцененных примерно в $768,800 на момент атаки.

Хронология событий

1. Исполнение эксплойта: Злоумышленник манипулировал ценовым оракулом с использованием флэш-кредитов.

2. Последствия: Пул залогов понес значительные потери, что дестабилизировало платформу.

3. Ответные меры: Sturdy Finance приостановил всю деятельность и начал расследование.

Команда Sturdy Finance активно работает над возвратом украденных средств и попыталась связаться с хакером, что является распространенной практикой в случае эксплойтов DeFi.

Механика манипуляции ценовым оракулом и атак повторного входа

Эксплойт был классифицирован как атака «только для чтения повторного входа», уязвимость, все чаще наблюдаемая в протоколах DeFi. Атаки повторного входа происходят, когда злоумышленник многократно вызывает функцию до завершения предыдущего выполнения, создавая несоответствия в логике протокола.

Как работал эксплойт

• Флэш-кредиты: Злоумышленник использовал неколлатерализованные флэш-кредиты для манипуляции ценовым оракулом.

• Манипуляция ценовым оракулом: Завышая стоимость залога, злоумышленник вывел средства из пула.

• Уязвимость повторного входа: Использовал несоответствия в логике выполнения протокола.

Флэш-кредиты и их использование в эксплойтах DeFi

Флэш-кредиты — это инновационные финансовые инструменты в DeFi, позволяющие пользователям занимать средства без залога при условии, что кредит будет погашен в рамках одной транзакции. Однако они стали двусмысленным инструментом, часто используемым злоумышленниками.

Преимущества и риски флэш-кредитов

• Преимущества: Позволяют реализовывать сложные финансовые стратегии, такие как арбитраж и обмен залогов.

• Риски: Могут быть использованы для эксплуатации уязвимостей, как это произошло в случае с инцидентом Sturdy Finance.

Роль Tornado Cash в отмывании украденных средств

После вывода средств злоумышленник переместил их через Tornado Cash, ориентированный на конфиденциальность миксер Ethereum. Tornado Cash скрывает происхождение и назначение транзакций, что делает его популярным инструментом для отмывания украденных средств.

Регуляторные вызовы

• Санкции: Tornado Cash был санкционирован правительством США.

• Конфиденциальность vs. безопасность: Подчеркивает продолжающуюся дискуссию вокруг инструментов, ориентированных на конфиденциальность, в криптопространстве.

Риски и уязвимости в децентрализованных финансах

Эксплойт Sturdy Finance подчеркивает присущие риски и уязвимости протоколов DeFi. Основные области беспокойства включают:

Распространенные уязвимости

• Смарт-контракты: Подвержены ошибкам и эксплойтам.

• Ценовые оракулы: Уязвимы для манипуляций.

• Взаимосвязанные экосистемы: Эксплойты в одном протоколе могут каскадно распространяться на другие.

Влияние на ликвидность и позиции с плечом

Манипуляция ценами часто приводит к дисбалансу ликвидности и принудительным ликвидациям позиций с плечом. Искусственно завышенный залог нарушает баланс пула, влияя на других пользователей и протоколы, зависящие от пула. Это может дестабилизировать более широкую экосистему DeFi.

Меры безопасности и лучшие практики для протоколов DeFi

Чтобы снизить риски, протоколы DeFi должны внедрять надежные меры безопасности, включая:

Рекомендуемые практики

• Аудит смарт-контрактов: Регулярные аудиты для выявления уязвимостей.

• Улучшение ценовых оракулов: Использование децентрализованных и устойчивых к манипуляциям оракулов.

• Внедрение аварийных выключателей: Приостановка активности протокола во время аномальных событий.

• Мониторинг активности флэш-кредитов: Выявление подозрительных шаблонов для предотвращения злонамеренного использования.

Связи между B-stETH-Stable и другими платформами DeFi

Пул B-stETH-Stable тесно интегрирован с другими платформами DeFi, такими как Curve и Balancer. Эти платформы являются ключевыми для предоставления ликвидности и торговли, что делает их критическими компонентами экосистемы DeFi.

Взаимосвязанные риски

Хотя эта взаимосвязанность улучшает функциональность, она также усиливает уязвимости. Эксплойты в одном протоколе могут иметь далеко идущие последствия, подчеркивая необходимость коллективных мер безопасности в экосистеме.

Заключение

Эксплойт Sturdy Finance служит ярким напоминанием о рисках, связанных с децентрализованными финансами. Хотя DeFi предлагает беспрецедентные возможности для инноваций и финансовой инклюзии, он также сопряжен с значительными вызовами. Усиление мер безопасности, улучшение дизайна протоколов и содействие сотрудничеству в экосистеме являются важными шагами для обеспечения долгосрочной устойчивости DeFi.