Den decentraliserede finansieringsudbyder (DeFi) likviditetsudbyder Balancer Pool indrømmede, at det for nylig var offer for et sofistikeret hack, der udnyttede en tekniskitet i processen til at snyde protokollen og trække $ 500.000 tokens ud. ”Vi vidste ikke, at denne specifikke type angreb var mulig,” sagde han.
Den komplekse procedure for tyveri
Balancer CTO Mike McDonald sagde i et indlæg, at hacker havde lånt WETH-tokens til en værdi af 23 millioner dollars, som er et ether-backed token, der er egnet til DeFi-handel, i et flash-lån fra dYdX.
Han handlede det derefter for Statera (STA), et investeringstoken, der bruger en overførselsgebyrmodel, hvor 1% af dens værdi går tabt hver gang den handles.
Angriberen udførte handlen mellem WETH og STA 24 gange og tømte STA-pengepuljen, indtil saldoen næsten var nul. Da Balancer troede, at han havde den samme mængde STA, frigav han WETH i beløb svarende til den oprindelige saldo, hvilket gav hacker en større margen for hver afsluttet handel. Ud over WETH udførte han det samme angreb ved hjælp af WBTC, LINK og SNX, alt byttet mod Statera-tokens.
Hacker ville være "en meget sofistikeret smart kontrakt ingeniør" ifølge 1inch
Hackerens identitet er fortsat et mysterium, men analytikere på 1Inch, en anden decentraliseret udvekslingsaggregator end Bitcoin-system, hævdede, at hacker dækkede deres spor godt - æteren, der blev brugt til at betale transaktionsgebyrer og distribuere smarte kontrakter, blev hvidvasket gennem Tornado Cash, en Ethereum-baseret mixertjeneste.
”Personen bag dette angreb er en meget sofistikeret smart kontraktingeniør med omfattende viden og forståelse af de vigtigste DeFi-protokoller,” sagde 1inch i sit indlæg, der beskriver tyveriet.
For sin del afviste holdet bag Statera beskyldninger om, at protokollen var vildledende eller med vilje designet til denne type angreb. ”Vi beklager dybt, og vi beklager oprigtigt alle ofrene for dette angreb,” sagde Statera i en officiel meddelelse.
Projektet tilføjede, at det ikke er i stand til at godtgøre ofre, der er ramt af hackeren. Balancer Pool vil nu begynde at sortliste alle tokens med overførselsgebyrer, inklusive Statera, sagde McDonald. I en anden revision sagde McDonald, at holdet vil undersøge mere om, hvordan hackingen fandt sted, og om der findes lignende sårbarheder med andre listede tokens.
Angrebet kunne ikke være kommet på et værre tidspunkt for Balancer, der udgav sit "BAL" -styrelsestoken i sidste uge. På pressetiden viser CoinGecko-data, at BAL-tokens handler på $ 11-niveau, hvilket er cirka 5% lavere inden for de sidste 24 timer.
