Gedecentraliseerde financieringsliquiditeitsverschaffer (DeFi) Balancer Pool gaf toe onlangs het slachtoffer te zijn geweest van een geavanceerde hack die een klacht in de procedure uitbuitte om het protocol te misleiden en tokens op te nemen voor $ 500.000. 'We wisten niet dat dit specifieke type aanval mogelijk was', zei hij.
De complexe diefstalprocedure
Balancer-CTO Mike McDonald zei in een bericht dat de hacker WETH-tokens ter waarde van $ 23 miljoen had geleend, een door ether ondersteund token dat geschikt is voor DeFi-handel, in een flitslening van dYdX.
Vervolgens heeft hij het verhandeld voor Statera (STA), een investeringstoken dat gebruik maakt van een transfer fee-model waarbij bij elke verhandeling 1% van de waarde ervan verloren gaat.
De aanvaller voerde de uitwisseling tussen WETH en STA 24 keer uit en maakte de STA-liquiditeitspool leeg totdat het saldo bijna nul was. Omdat Balancer dacht dat hij dezelfde hoeveelheid STA had, bracht hij WETH uit in hoeveelheden die gelijk waren aan het oorspronkelijke saldo, waardoor de hacker een grotere marge kreeg voor elke voltooide transactie. Naast WETH voerde hij dezelfde aanval uit met WBTC, LINK en SNX, allemaal ingeruild voor Statera-tokens.
De hacker zou volgens 1inch "een zeer geavanceerde slimme contract engineer" zijn
De identiteit van de hacker blijft een mysterie, maar analisten van de exchange 1Inch, een gedecentraliseerde exchange-aggregator anders dan Bitcoin-systeem, zei de hacker goed op hun sporen: de ether die transactiekosten betaalde en slimme contracten distribueerde, werd gerecycled via Tornado Cash, een op Ethereum gebaseerde mixerservice.
"De persoon achter deze aanval is een zeer geavanceerde slimme contractingenieur met uitgebreide kennis en begrip van de belangrijkste DeFi-protocollen", zei 1inch in zijn post waarin hij het heeft over diefstal.
Het team achter Statera van zijn kant verwierp de beschuldigingen dat het protocol bedrieglijk was of opzettelijk was ontworpen voor dit type aanval. 'Het spijt ons zeer en we bieden onze oprecht onze excuses aan aan alle slachtoffers van deze aanval', zei Statera in een officiële aankondiging.
Het project voegde eraan toe dat het de door de hacker getroffen slachtoffers niet kan vergoeden. Balancer Pool zal nu alle transfersomtokens op de zwarte lijst zetten, inclusief Statera, zei McDonald. In een andere audit zei McDonald dat het team verder onderzoek zal doen naar hoe de hacking heeft plaatsgevonden en of er vergelijkbare kwetsbaarheden bestaan met andere vermelde tokens.
De aanval had niet op een slechter moment kunnen komen voor Balancer, die vorige week zijn "BAL" -token heeft vrijgegeven. Vanaf de perstijd tonen CoinGecko-gegevens aan dat BAL-tokens worden verhandeld op $ 11-niveau, een daling van ongeveer 5% in de afgelopen 24 uur.
