Penyedia likuiditas keuangan terdesentralisasi (DeFi) Balancer Pool mengakui bahwa baru-baru ini menjadi korban peretasan canggih yang mengeksploitasi teknis dalam proses untuk menipu protokol dan menarik token $ 500.000. "Kami tidak tahu jenis serangan khusus ini mungkin," katanya.
Prosedur pencurian yang rumit
Balancer CTO Mike McDonald mengatakan dalam sebuah posting bahwa peretas telah meminjam token WETH senilai $ 23 juta, yang merupakan token yang didukung eter yang cocok untuk perdagangan DeFi, dalam pinjaman flash dYdX.
Dia kemudian memperdagangkannya untuk Statera (STA), token investasi yang menggunakan model biaya transfer di mana 1% nilainya hilang setiap kali diperdagangkan.
Penyerang mengeksekusi perdagangan antara WETH dan STA 24 kali, mengosongkan kumpulan kas STA sampai saldo hampir nol. Karena Balancer mengira dia memiliki jumlah STA yang sama, dia merilis WETH dalam jumlah yang setara dengan saldo asli, memberikan peretas margin yang lebih besar untuk setiap perdagangan yang diselesaikan. Selain WETH, dia melakukan serangan yang sama menggunakan WBTC, LINK, dan SNX, semuanya ditukar dengan token Statera.
Peretas akan menjadi "insinyur kontrak cerdas yang sangat canggih" menurut 1inch
Identitas peretas tetap menjadi misteri, tetapi analis di 1Inch, agregator pertukaran terdesentralisasi selain Sistem Bitcoin, mengklaim bahwa peretas menutupi jejak mereka dengan baik - eter yang digunakan untuk membayar biaya transaksi dan mendistribusikan kontrak pintar dicuci melalui Tornado Cash, layanan mixer berbasis Ethereum.
"Orang di balik serangan ini adalah insinyur kontrak pintar yang sangat canggih dengan pengetahuan dan pemahaman yang luas tentang protokol DeFi utama," kata 1inch dalam postingannya yang merinci pencurian tersebut.
Sementara itu, tim di belakang Statera telah menepis tuduhan bahwa protokol itu cacat atau sengaja dirancang untuk jenis serangan ini. "Kami sangat menyesal, dan kami dengan tulus meminta maaf kepada semua korban serangan ini," kata Statera dalam pengumuman resmi.
Proyek tersebut menambahkan bahwa pihaknya tidak dapat mengganti biaya korban yang terkena dampak peretas. Balancer Pool sekarang akan mulai memasukkan semua token ke dalam daftar hitam dengan biaya transfer, termasuk Statera, kata McDonald. Dalam audit lain, McDonald mengatakan tim akan melakukan penelitian lebih lanjut tentang bagaimana peretasan terjadi dan apakah ada kerentanan serupa dengan token terdaftar lainnya.
Serangan itu tidak mungkin terjadi pada saat yang lebih buruk bagi Balancer, yang merilis token tata kelola "BAL" minggu lalu. Pada waktu pers, data CoinGecko menunjukkan token BAL diperdagangkan pada level $ 11, turun sekitar 5% dalam 24 jam terakhir.
