Penyedia kecairan pembiayaan terdesentralisasi (DeFi) Balancer Pool mengakui bahawa baru-baru ini menjadi mangsa peretasan canggih yang memanfaatkan teknikal dalam proses untuk menipu protokol dan menarik $ 500.000 token. "Kami tidak tahu jenis serangan khusus ini mungkin," katanya.
Prosedur pencurian yang kompleks
Balancer CTO Mike McDonald mengatakan dalam satu posting bahawa penggodam telah meminjam token WETH bernilai $ 23 juta, yang merupakan token yang disokong oleh ether yang sesuai untuk perdagangan DeFi, dalam pinjaman kilat dari dYdX.
Dia kemudian memperdagangkannya untuk Statera (STA), token pelaburan yang menggunakan model yuran pemindahan di mana 1% nilainya hilang setiap kali diperdagangkan.
Penyerang melakukan perdagangan antara WETH dan STA 24 kali, mengosongkan kumpulan wang tunai STA sehingga bakinya hampir sifar. Oleh kerana Balancer mengira dia memiliki jumlah STA yang sama, dia melepaskan WETH dalam jumlah yang setara dengan baki semula, memberikan peretas margin yang lebih besar untuk setiap perdagangan yang selesai. Selain WETH, dia melakukan serangan yang sama menggunakan WBTC, LINK, dan SNX, semuanya ditukar dengan token Statera.
Penggodam akan menjadi "jurutera kontrak pintar yang sangat canggih" menurut 1inch
Identiti penggodam tetap menjadi misteri, tetapi penganalisis di 1Inch, agregator pertukaran terdesentralisasi selain Sistem Bitcoin, mendakwa bahawa penggodam menutupi jejak mereka dengan baik - eter yang digunakan untuk membayar yuran transaksi dan mengedarkan kontrak pintar dicuci melalui Tornado Cash, sebuah perkhidmatan pengadun berasaskan Ethereum.
"Orang di sebalik serangan ini adalah jurutera kontrak pintar yang sangat canggih dengan pengetahuan dan pemahaman yang luas mengenai protokol DeFi utama," kata 1inch dalam catatannya yang memperincikan kecurian.
Sebaliknya, pasukan di belakang Statera menolak dakwaan bahawa protokol itu salah atau sengaja dirancang untuk jenis serangan ini. "Kami sangat menyesal, dan kami dengan tulus meminta maaf kepada semua korban serangan ini," kata Statera dalam pengumuman rasmi.
Projek itu menambah bahawa ia tidak dapat membayar balik mangsa yang terkena peretasan. Balancer Pool kini akan mula menyenarai hitam semua token dengan yuran pemindahan, termasuk Statera, kata McDonald. Dalam audit lain, McDonald mengatakan pasukan akan melakukan penyelidikan lebih lanjut mengenai bagaimana penggodaman itu berlaku dan adakah kelemahan serupa ada dengan token lain yang tersenarai.
Serangan itu tidak mungkin terjadi pada waktu yang lebih buruk bagi Balancer, yang merilis token pemerintahan "BAL" minggu lalu. Pada masa akhbar, data CoinGecko menunjukkan token BAL diperdagangkan pada tahap $ 11, turun sekitar 5% dalam 24 jam terakhir.
