Davatelj usluge likvidnosti za decentralizirano financiranje (DeFi), Balancer Pool, priznao je da je nedavno bio žrtva sofisticiranog haka koji je u tom procesu iskoristio tehničku sposobnost za varanje protokola i povlačenje 500.000 američkih tokena. "Nismo znali da je ovakva vrsta napada moguća", rekao je.
Složeni postupak krađe
Tehnički direktor balansa Mike McDonald rekao je u postu da je haker pozajmio WETH tokene vrijedne 23 milijuna dolara, što je žeton s eterskom potporom pogodan za trgovanje DeFi-om, u brzom zajmu od dYdX-a.
Zatim ga je zamijenio za Stateru (STA), investicijski token koji koristi model naknade za prijenos pri čemu se svaki put kada se trguje izgubi 1% vrijednosti.
Napadač je izvršio trgovinu između WETH i STA 24 puta, ispraznivši novčani fond STA dok saldo nije bio gotovo nula. Budući da je Balancer mislio da ima istu količinu STA, pustio je WETH u količinama jednakim izvornom stanju, dajući hakeru veću maržu za svaku završenu trgovinu. Osim WETH-a, izveo je isti napad koristeći WBTC, LINK i SNX, svi zamijenjeni za Statera tokene.
Haker bi prema "1inchu" bio "vrlo sofisticirani inženjer pametnih ugovora"
Identitet hakera ostaje misterij, no analitičari 1Inch-a, decentraliziranog agregatora razmjena, osim Bitcoin sustav, tvrdio je da je haker dobro pokrio njihove tragove - eter koji se koristio za plaćanje naknada za transakcije i distribuciju pametnih ugovora prao se putem Tornado Casha, mikserske usluge sa sjedištem u Ethereumu.
"Osoba koja stoji iza ovog napada vrlo je sofisticirani inženjer pametnih ugovora s opsežnim znanjem i razumijevanjem glavnih protokola DeFi", rekao je 1inch u svom postu detaljno opisujući krađu.
Sa svoje strane, tim koji stoji iza Statere odbacio je navode da je protokol bio neispravan ili namjerno dizajniran za ovu vrstu napada. "Duboko nam je žao i iskreno se ispričavamo svim žrtvama ovog napada", rekla je Statera u službenoj najavi.
Projekt je dodao da nije u mogućnosti nadoknaditi žrtve pogođene hakerom. Balancer Pool će sada početi stavljati sve crteže na popis s naknadama za prijenos, uključujući Stateru, rekao je McDonald. U drugoj reviziji, McDonald je rekao da će tim provesti daljnja istraživanja o tome kako se dogodilo hakiranje i postoje li slične ranjivosti s drugim navedenim tokenima.
Napad nije mogao doći u gorem trenutku za Balancer, koji je prošlog tjedna objavio svoj upravljački token "BAL". U vrijeme tiska, podaci CoinGecko pokazuju da se BAL tokeni trguju na razini od 11 dolara, što je pad od oko 5% u posljednja 24 sata.
