Sturdy Finance, un protocole hébergé sur Ethereum et spécialisé dans les prêts crypto a été victime d’un hack.  À l’issue de cette attaque de type reentrancy, le protocole a perdu au total 442 ETH.

442 ETH dérobés suite à une défaillance sur Sturdy Finance

La plateforme de prêt et d’emprunt, Sturdy Finance, a été touchée par une attaque ce 12 juin. En effet, un hacker a exploité une faille nommée « reentrancy » sur Sturdy Finance. 

Dans la pratique, la reentrancy est une méthode par laquelle l’attaquant rappelle une fonction de manière répétée dans une seule transaction. Ce, avant la fin de l’appel de fonction initial. De fait, l’assaillant a la possibilité de retirer plus de fonds qu’il n’était permis en temps normal.

Cette vulnérabilité a permis au pirate de manipuler le prix d’un oracle défectueux pour drainer les fonds stockés dans les pools. Ainsi, 442 ETH, soit 800 000 dollars, ont été soutirés dans les divers pools Ethereum de la plateforme. Notons que tous ces fonds ont été déplacés vers Tornado Cash. 

À la suite de cet hacking, les équipes du protocole Defi ont très vite déclaré qu’elles étaient au courant de l’attaque. Elles ont également indiqué avoir suspendu tous leurs marchés pour limiter les dégâts. 

La reentancy, une faille régulièrement exploitée dans l’écosystème Ethereum

La faille reentrancy est l’une des vulnérabilités les plus courantes dans l’écosystème Ethereum.  Elle a entrainé le piratage de The DAO par le passé et elle continue de servir de moyen d’opération pour les hackers. Comme on peut le constater, c’est cette même faille qui a permis le hacking de Sturdy Finance. 

Il est question d’une faille typique de réentrance sur le pool Balancer en lecture-seule, selon les chercheurs de BlockSec. Cette défaillance a été révélée en 2022 mais, malheureusement, Sturdy Finance n’avait pas effectué les modifications nécessaires. Pourtant, une partie de son code était contrôlée par ces fonctionnalités de Balancer.