Reentrada de solo lectura en Sturdy Finance

El 12 de junio de 2023, el protocolo de préstamos Sturdy Finance perdió aproximadamente $800.000 mediante una reentrada de solo lectura de Balancer que valoró mal su colateral en tokens LP B-stETH-STABLE. El atacante se endeudó contra una valoración de colateral inflada. Tras negociación — incluyendo una oferta de recompensa de $100K — los fondos fueron finalmente devueltos.

Qué ocurrió

Sturdy Finance era un protocolo de préstamos que aceptaba tokens LP con rendimiento como colateral, incluyendo el token del pool B-stETH-STABLE de Balancer. Sturdy ponía precio a este colateral usando la tasa reportada por el pool de Balancer.

El exploit usó el patrón de reentrada de solo lectura — el mismo bug estructural que dForce, EraLend y el propio incidente de Balancer de agosto de 2023:

1. El atacante inició una operación del pool Balancer (acción de liquidez) que disparó un callback.
2. Durante el callback — mientras el precio BPT reportado del pool de Balancer estaba temporalmente incorrecto (a media mutación) — el atacante interactuó con el mercado de préstamos de Sturdy.
3. La lógica de precios del colateral de Sturdy leyó el precio BPT manipulado a media mutación, valorando el colateral B-stETH-STABLE del atacante muy por encima de su valor real.
4. El atacante pidió prestadas las reservas disponibles de Sturdy contra el colateral inflado.
5. Total extraído: aproximadamente $800K.

Consecuencias

• Sturdy pausó todos los mercados para prevenir más pérdidas.
• El equipo ofreció al atacante una recompensa de $100.000 por la devolución de los fondos restantes.
• Tras negociación, el atacante devolvió los fondos, clasificando el incidente como una resolución white-hat (pagada).
• Sturdy rediseñó su precio de colateral para usar lecturas de oráculo seguras frente a reentrada y posteriormente relanzó una v2 rearquitectada.

Por qué importa

Sturdy Finance es uno de cuatro incidentes de reentrada de solo lectura de 2023 — junto con dForce (feb), EraLend (jul) y Balancer (ago) — que juntos hacen de 2023 el año en que el patrón de reentrada de solo lectura alcanzó la amplia conciencia DeFi que debería haber tenido años antes.

La lección estructural es la consistente: cualquier protocolo que lea el estado interno de un pool Curve o Balancer (precio virtual, tasa BPT) para valorar colateral debe comprobar el estado del bloqueo de reentrada del pool antes de consumir el valor, porque el precio reportado del pool está temporalmente equivocado durante sus propias mutaciones de estado. Curve y Balancer publicaron explícitamente guía de integración sobre esto; la recurrencia refleja cuántos protocolos de préstamos integraron lecturas de tasa de pool escritas antes, o sin conciencia, de esa guía.

La recuperación total mediante negociación también hace de Sturdy un caso representativo del patrón de resolución cada vez más dominante para exploits inferiores a $10M en 2023+: el atacante, enfrentando una forensía on-chain en mejora y una oferta de recompensa creíble, encuentra que devolver los fondos es la elección racional. La lógica económica — una recompensa garantizada versus las ganancias inciertas, lentas y cada vez más rastreables del blanqueo — ha hecho de "explotar, negociar, devolver por recompensa" un subgénero reconocible, y los $800K / 100% de devolución de Sturdy es una instancia limpia de ello.