Hack sur Ethereum : 442 ETH envolés pour Sturdy Finance
Encore une reentrancy – Le protocole Sturdy Finance hébergé sur Ethereum vient de faire les frais d’une attaque de type reentrancy. Au total, 442 ETH ont été dérobés par le hacker.
Faille sur Sturdy Finance : 442 ETH envolés
Fondé en 2022, Sturdy Finance propose une plateforme de prêt et d’emprunt sans intérêt sur Ethereum. Depuis son lancement, celle-ci voit sa TVL osciller entre 10 et 20 millions de dollars.
Cependant, une tempête a frappé le protocole. En effet, le 12 juin au petit matin, un hacker a exploité une vulnérabilité dite de « reentrancy ». Cela lui a permis de manipuler le prix d’un oracle défectueux pour finalement siphonner les fonds déposés dans les pools.
Au total, 442 ETH soit 800 000$ ont été siphonnés dans les différentes pools Ethereum du protocole.
En pratique, l’attaque a débuté par une faille reentrancy. Celle-ci permet à l’assaillant de rappeler une fonction à plusieurs reprises dans une seule transaction avant que l’appel de fonction original soit terminé. Par conséquent, l’attaquant peut accéder plusieurs fois à des fonds, avant que le protocole ne mette à jour le nouveau solde après retrait.
Cette vulnérabilité lui a permis de manipuler le prix fourni par l’oracle et de retirer bien plus qu’il n’était normalement autorisé.
Réaction de Sturdy Finance
Rapidement, les équipes de Sturdy Finance ont déclaré sur Twitter être au courant de l’attaque. Ces derniers ont directement suspendu tous ses marchés pour prévenir de nouvelles pertes potentielles.
« Nous avons suspendu tous les marchés; aucun fonds supplémentaire n’est en danger, et aucune action de la part des utilisateurs n’est requise à ce stade. »
Évidemment, de son côté, le hacker s’est protégé. En effet, l’adresse utilisée pour mener l’attaque a été financée par une transaction provenant du mixeur Tornado Cash.
Par la suite, dans la minute qui a suivi son attaque, l’ensemble des fonds ont été déplacés vers une autre adresse, une nouvelle fois via Tornado Cash.
Reentrancy ? Encore ?
Comme nous venons de le voir, le protocole a pu être hacké grâce à la présence d’une faille reentrancy. Pourtant, il s’agit là d’une des failles les plus connues dans l’écosystème Ethereum pour avoir causé le hack de The DAO.
Ainsi, selon les chercheurs de l’entreprise BlockSec, il s’agit là d’une « faille typique de reentrancy sur la pool Balancer en lecture-seule ».
Nous noterons la présence de l’adjectif « typique » qui fait froid dans le dos lorsqu’on réfère à une faille dans un protocole. En pratique, cette faille a été dévoilée en 2022, avec une réaction en février de la part de Balancer.
Malheureusement, Sturdy Finance n’avait pas effectué les modifications nécessaires alors qu’une partie de son code dépend de ces fonctionnalités de Balancer.
Pourtant contrairement à de nombreux protocoles victimes de hacks, Sturdy a été audité à plusieurs reprises. Trois au total, en février et juin 2022 par Certik et Code4rena puis le 15 février 2023 par QuantStamp, soit une semaine après la publication de la faille dans Balancer sur le forum de gouvernance.
Récemment, ce fut le portefeuille Atomic Wallet qui s’est retrouvé sous le feu des projecteurs. Effectivement, une faille dans son code a entraîné le siphonnage de 35 millions de dollars.
Besoin d’un portefeuille sécurisé pour explorer les multiples applications de la DeFi ? la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !