El protocolo de finanzas Sturdy Finance fue hackedo y el intruso se llevo 442 ETH (unos 800.000 dólares) debido a una falla de reentrenamiento.
Sturdy Finance, es una plataforma de préstamos sin intereses diseñada sobre Ethereum, el cual cuenta con un TVL que oscila entre 10 y 20 millones de dólares; es de destacar que el protocolo fue victima de un ataque tal y como lo indica un Tweet enviado por este.
Como se ha descrito en el párrafo anterior el protocolo se ha visto inmerso en una tormenta, debido a que un hacker ha explotado una vulnerabilidad del protocolo llamada “rentabilidad “; el cual le permitió manipular el precio de un oráculo defectuoso, para luego tomar los fondos depositados en las piscinas de liquidez. En total, han sido 442 ETH u $800,000 desviado en diferentes grupos del protocolo Ethereum, tal y como lo muestra PeckShield Inc, en un Tweet.
Como lo han descrito varias cuentas especializadas en el tema, el ataque comenzó con una falla de reentrenamiento, el cual le permitió al intruso recuperar una función varias veces en una sola transacción antes que se completara la llamada de función original; dando como resultado que el atacante pudiese acceder a los fondos varias veces, antes que el protocolo actualice el nuevo saldo después del retiro.
Sturdy Finance y su reacción ante el ataque
El equipo ha dicho que suspendieron directamente todos sus mercados para evitar mayores pérdidas potenciales.
“Hemos suspendido todos los mercados; no hay fondos adicionales en peligro, y no se requiere ninguna acción por parte de los usuarios en esta etapa“.
Es de notar que el hacker usa como medio de protección para liderar el ataque la dirección del mezclador Tornado Cash.
Desde el momento del ataque todos los fondos se trasladaron a otra dirección, nuevamente a través de Tornado Cash.
Reentrenamiento de falla
El protocolo es hack gracias a la presencia de un reentrenamiento de fallas, uno de los defectos más conocidos en el ecosistema Ethereum.
Según investigadores de BlockSec, este es un “falla de reentrenamiento típica en la piscina Swing en solo lectura”, tal y como se muestra en el Tweet hecho por ellos del ataque.
Notaremos la presencia del adjetivo “Típico” en la parte posterior cuando se hace referencia a una falla en un protocolo; este defecto se presenta en 2022, con una reacción en febrero de Balancer.
A diferencia de muchos protocolos pirateados, Sturdy se ha auditado varias veces. Tres en total, en febrero y junio de 2022 por Certik y Code4rena y luego el 15 de febrero de 2023 por QuantStamp, una semana después de la publicación de la escapatoria en Balancer en el foro de gobernanza.
Con ellos podemos notar que a pesar de todos lo hecho por los proyectos, la vulnerabilidad en los protocolos criptográficos aún están activos.
