Decentralizuoto finansavimo („DeFi“) likvidumo tiekėjas „Balancer Pool“ pripažino, kad pastaruoju metu tai buvo sudėtingo įsilaužimo auka, kuri pasinaudojo techniniu procedūrų būdu apgauti protokolą ir atsiimti 500.000 XNUMX dolerių žetonų. „Mes nežinojome, kad šis konkretus tipo išpuolis yra įmanomas“, - sakė jis.
Sudėtinga vagystės procedūra
Balansuotojas CTO Mike'as McDonaldas savo pranešime teigė, kad įsilaužėlis pasiskolino 23 milijonų dolerių vertės WETH žetonų - eterio garantuotą žetoną, tinkantį „DeFi“ prekybai - kaip greitą paskolą iš „dYdX“.
Tada jis prekiavo investicijų žetonu „Statera“ (STA), kuris naudoja pervedimo mokesčio modelį, kai kiekvieną kartą, kai prekiaujama, prarandama 1% jo vertės.
Užpuolikas vykdė prekybą tarp WETH ir STA 24 kartus, ištuštindamas STA likvidumo rezervą, kol likutis buvo beveik nulis. Kadangi Balanceris manė turintis tą patį kiekį STA, jis išleido WETH sumomis, atitinkančiomis pradinį likutį, suteikdamas įsilaužėliui didesnę maržą kiekvienai užbaigtai prekybai. Be WETH, jis atliko tą pačią ataką naudodamas WBTC, LINK ir SNX, visus pasikeitusius į „Statera“ žetonus.
Įsilaužėlis būtų „labai rafinuotas sumanus kontraktų inžinierius“, pasak 1 colio
Įsilaužėlio tapatybė tebėra paslaptis, tačiau „1Inch“, decentralizuoto mainų agregatoriaus, išskyrus Bitcoin sistema, tvirtino, kad įsilaužėlis gerai aprėpė jų takelius: eteris, naudojamas mokėti sandorio mokesčius ir platinti išmaniąsias sutartis, buvo išplautas per „Tornado Cash“, „Ethereum“ pagrįstą maišytuvų paslaugą.
„Asmuo, įvykdęs šią ataką, yra labai sudėtingas sumanus rangovų inžinierius, turintis daug žinių ir supratimas apie pagrindinius„ DeFi “protokolus“, - pranešime apie 1 vagystę nurodė vagystė.
Savo ruožtu „Statera“ komanda atmetė įtarimus, kad protokolas buvo ydingas arba tyčia sukurtas tokio tipo atakoms. „Mes labai apgailestaujame ir nuoširdžiai atsiprašome visų šio išpuolio aukų“, - sakoma „Statera“ oficialiame pranešime.
Projektas pridūrė, kad jis negali atlyginti nuostolių nukentėjusiems nuo įsilaužėlio. „Balancer Pool“ dabar pradės įtraukti visus žetonus į sąrašą su perdavimo mokesčiais, įskaitant „Statera“, sakė McDonaldas. Atlikdamas kitą auditą, McDonaldas teigė, kad komanda atliks tolesnius tyrimus, kaip įvyko įsilaužimas ir ar yra panašių pažeidžiamumų su kitais išvardytais žetonais.
Ataka negalėjo įvykti blogesniu laiku „Balancer“, kuris praėjusią savaitę išleido „BAL“ valdymo žetoną. Spaudos metu „CoinGecko“ duomenys rodo, kad BAL žetonai prekiauja 11 USD lygiu, per pastarąsias 5 valandas sumažėjo apie 24%.
