Hajautetun rahoituksen (DeFi) likviditeettitoimittaja Balancer Pool myönsi, että se oli äskettäin hienostuneen hakkeroinnin uhri, joka käytti prosessin teknistä osaa huijata protokollaa ja nostaa 500.000 XNUMX dollarin rahakkeita. "Emme tienneet, että tämän tyyppinen hyökkäys oli mahdollista", hän sanoi.
Varkauden monimutkainen menettely
Tasapainottajan teknologiajohtaja Mike McDonald kertoi viestissään, että hakkeri oli lainannut 23 miljoonan dollarin arvosta WETH-rahakkeita, jotka ovat DeFi-kaupankäyntiin sopivia eetteritakuisia merkkejä, dYdX: n pikalainana.
Sitten hän vaihtoi sen Stateraan (STA), sijoitusmerkkiin, joka käyttää siirtomaksumallia, jossa 1% sen arvosta menetetään joka kerta, kun se käydään kauppaa.
Hyökkääjä suoritti WETH: n ja STA: n välisen kaupan 24 kertaa tyhjentäen STA: n käteisvarat, kunnes saldo oli lähes nolla. Koska Balancer ajatteli, että hänellä oli sama määrä STA: ta, hän vapautti WETH: n alkuperäistä saldoa vastaavina määrinä, mikä antoi hakkereille suuremman marginaalin jokaiselle suoritetulle kaupalle. WETH: n lisäksi hän teki saman hyökkäyksen WBTC: n, LINK: n ja SNX: n avulla, jotka kaikki vaihdettiin Statera-rahakkeisiin.
Hakkerista tulisi "erittäin hienostunut älykäs sopimusinsinööri" 1 tuuman mukaan
Hakkerin henkilöllisyys on edelleen mysteeri, mutta 1 tuuman analyytikot, muu hajautettu vaihtoaggregaatti kuin Bitcoin-järjestelmä, väitti, että hakkeri peitti jäljet hyvin - eetteri, jota käytettiin maksamaan transaktiomaksuja ja jakamaan älykkäitä sopimuksia, pestiin Ethereum-pohjaisen mikseripalvelun Tornado Cashin kautta.
"Tämän hyökkäyksen taustalla oleva henkilö on erittäin hienostunut älykäs sopimusinsinööri, jolla on laaja tietämys ja ymmärrys tärkeimmistä DeFi-protokollista", 1tuumainen sanoi varkaudesta.
Stateran takana oleva joukkue on puolestaan hylännyt väitteet protokollan virheellisyydestä tai tarkoituksellisesta tämän tyyppiselle hyökkäykselle. "Olemme erittäin pahoillamme ja pyydämme vilpittömästi anteeksipyyntöämme kaikille tämän hyökkäyksen uhreille", Statera sanoi virallisessa ilmoituksessa.
Hanke lisäsi, että se ei pysty korvaamaan hakkereista kärsineille uhreille. Balancer Pool aloittaa nyt kaikkien rahakkeiden mustan listan siirtomaksuilla, mukaan lukien Statera, McDonald sanoi. Toisessa tarkastuksessa McDonald sanoi, että joukkue tekee lisätutkimuksia siitä, miten hakkerointi tapahtui ja onko muita lueteltuja tunnuksia vastaavia haavoittuvuuksia.
Hyökkäys ei olisi voinut tapahtua huonommassa ajassa Balancerille, joka julkaisi BAL-hallintotunnuksensa viime viikolla. Lehdistöajankohtana CoinGecko-tiedot osoittavat, että BAL-rahakkeet käyvät kauppaa $ 11 -tasolla, mikä on laskenut noin 5% viimeisten 24 tunnin aikana.
