Den desentraliserte finans (DeFi) likviditetsleverandøren Balancer Pool innrømmet at det nylig var offer for et sofistikert hack som utnyttet en tekniskitet i prosessen for å jukse protokollen og ta ut $ 500.000 tokens. "Vi visste ikke at denne spesifikke typen angrep var mulig," sa han.
Den komplekse prosedyren for tyveri
Balancer CTO Mike McDonald sa i et innlegg at hackeren hadde lånt WETH-tokens til en verdi av 23 millioner dollar, som er et eter-støttet token som passer for DeFi-handel, i et flash-lån fra dYdX.
Han byttet den deretter til Statera (STA), et investeringstoken som bruker en overføringsgebyrmodell der 1% av verdien går tapt hver gang den handles.
Angriperen utførte handelen mellom WETH og STA 24 ganger, og tømte likviditetsbassenget til STA til balansen var nesten null. Siden Balancer trodde han hadde samme mengde STA, ga han ut WETH i beløp som tilsvarer den opprinnelige saldoen, og ga hackeren større margin for hver fullført handel. I tillegg til WETH utførte han det samme angrepet ved hjelp av WBTC, LINK og SNX, alt byttet mot Statera-tokens.
Hacker ville være "en veldig sofistikert smart kontrakt ingeniør" ifølge 1inch
Identiteten til hackeren er fortsatt et mysterium, men analytikere på 1Inch, en desentralisert utvekslingsaggregat enn Bitcoin-systemet, hevdet at hackeren dekket sporene deres godt - eteren som ble brukt til å betale transaksjonsgebyrer og distribuere smarte kontrakter ble hvitvasket gjennom Tornado Cash, en Ethereum-basert miksetjeneste.
"Personen bak dette angrepet er en veldig sofistikert smart kontraktsingeniør med omfattende kunnskap og forståelse av de viktigste DeFi-protokollene," sa 1inch i innlegget sitt om tyveri.
Teamet bak Statera har på sin side avvist påstander om at protokollen var feil eller med vilje designet for denne typen angrep. "Vi beklager dyktig og beklager alle våre ofre for dette angrepet," sa Statera i en offisiell kunngjøring.
Prosjektet la til at det ikke er i stand til å refundere ofre som er rammet av hackeren. Balancer Pool vil nå begynne å svarteliste alle tokens med overføringsgebyr, inkludert Statera, sa McDonald. I en annen revisjon sa McDonald at teamet vil gjøre nærmere undersøkelser om hvordan hackingen fant sted, og om lignende sårbarheter eksisterer med andre oppførte tokens.
Angrepet kunne ikke ha kommet på et verre tidspunkt for Balancer, som ga ut sitt “BAL” -styretegn i forrige uke. På pressetiden viser data fra CoinGecko at BAL-tokens handler på $ 11-nivået, ned ca. 5% de siste 24 timene.
