Sturdy Finance Read-Only-Reentrancy

Am 12. Juni 2023 verlor das Lending-Protokoll Sturdy Finance rund 800.000 Dollar durch eine Balancer-Read-Only-Reentrancy, die seine B-stETH-STABLE-LP-Token-Sicherheit falsch bepreiste. Der Angreifer borgte gegen eine aufgeblähte Sicherheits-Bewertung. Nach Verhandlung — einschließlich eines 100.000-$-Bounty-Angebots — wurden die Mittel letztlich zurückgegeben.

Was geschah

Sturdy Finance war ein Lending-Protokoll, das yield-bearing LP-Tokens als Sicherheit akzeptierte, einschließlich Balancers B-stETH-STABLE-Pool-Token. Sturdy bepreiste diese Sicherheit mit der gemeldeten Rate des Balancer-Pools.

Der Exploit nutzte das Read-Only-Reentrancy-Muster — denselben strukturellen Bug wie dForce, EraLend und Balancers eigenen Vorfall vom August 2023:

1. Der Angreifer initiierte eine Balancer-Pool-Operation (Liquiditäts-Aktion), die einen Callback auslöste.
2. Während des Callbacks — während der gemeldete BPT-Preis des Balancer-Pools vorübergehend inkorrekt war (mitten in der Mutation) — interagierte der Angreifer mit Sturdys Lending-Markt.
3. Sturdys Sicherheits-Bepreisungslogik las den manipulierten Mid-Mutation-BPT-Preis und bewertete die B-stETH-STABLE-Sicherheit des Angreifers weit über ihrem wahren Wert.
4. Der Angreifer lieh Sturdys verfügbare Reserven gegen die aufgeblähte Sicherheit aus.
5. Insgesamt extrahiert: rund 800.000 $.

Nachwirkungen

• Sturdy pausierte alle Märkte, um weitere Verluste zu verhindern.
• Das Team bot dem Angreifer eine 100.000-$-Bounty für die Rückgabe der verbleibenden Mittel.
• Nach Verhandlung gab der Angreifer die Mittel zurück, was den Vorfall als (bezahlte) Whitehat-Lösung klassifizierte.
• Sturdy redesignte seine Sicherheits-Bepreisung, um reentrancy-sichere Orakel-Reads zu verwenden, und launchte später eine neu architektierte v2.

Warum es zählt

Sturdy Finance ist einer von vier 2023er Read-Only-Reentrancy-Vorfällen — neben dForce (Feb), EraLend (Jul) und Balancer (Aug) —, die zusammen 2023 zum Jahr machen, in dem das Read-Only-Reentrancy-Muster die breite DeFi-Aufmerksamkeit erreichte, die es Jahre früher hätte haben sollen.

Die strukturelle Lehre ist die konsistente: Jedes Protokoll, das einen Curve- oder Balancer-Pool-Innenzustand (Virtual Price, BPT Rate) liest, um Sicherheiten zu bewerten, muss den Reentrancy-Lock-Status des Pools vor dem Konsum des Wertes prüfen, weil der gemeldete Preis des Pools während seiner eigenen Zustandsmutationen vorübergehend falsch ist. Curve und Balancer veröffentlichten beide explizite Integrationsleitlinien dazu; die Wiederholung spiegelt wider, wie viele Lending-Protokolle Pool-Rate-Reads integrierten, die vor oder ohne Bewusstsein dieser Leitlinien geschrieben wurden.

Die vollständige Wiederherstellung durch Verhandlung macht Sturdy auch zu einem repräsentativen Fall des zunehmend dominanten Auflösungsmusters für Sub-10-Mio.-$-Exploits ab 2023: Der Angreifer, der besser werdender On-Chain-Forensik und einem glaubwürdigen Bounty-Angebot gegenübersteht, findet die Rückgabe der Mittel als rationale Wahl. Die ökonomische Logik — eine garantierte Bounty versus die unsicheren, langsamen und zunehmend nachverfolgbaren Erlöse aus Geldwäsche — hat „Exploit, verhandle, Rückgabe gegen Bounty" zu einem erkennbaren Sub-Genre gemacht, und Sturdys 800.000 $ / 100 % Rückgabe ist eine saubere Instanz davon.