Dostawca płynności w zdecentralizowanym sektorze bilansującym (DeFi) Bilancer Pool przyznał się, że niedawno padł ofiarą wyrafinowanego włamania, które wykorzystało spór w procedurze oszukiwania protokołu i wycofywania tokenów za 500.000 XNUMX USD. „Nie wiedzieliśmy, że ten konkretny rodzaj ataku jest możliwy.” - powiedział.
Złożona procedura kradzieży
Mike McDonald, dyrektor ds. Bilansowania, powiedział w poście, że haker pożyczył tokeny WETH o wartości 23 milionów dolarów, token obsługiwany przez eter odpowiedni do handlu DeFi, w pożyczce błyskawicznej od dYdX.
Następnie wymienił go na Statera (STA), token inwestycyjny, który wykorzystuje model opłaty transferowej, w którym 1% jego wartości jest tracony za każdym razem, gdy jest on przedmiotem obrotu.
Atakujący przeprowadził wymianę między WETH i STA 24 razy, opróżniając pulę płynności STA, aż saldo wyniesie prawie zero. Ponieważ Balancer myślał, że ma taką samą ilość STA, wypuścił WETH w ilościach równoważnych pierwotnemu saldowi, dając hakerowi wyższą marżę za każdą zakończoną transakcję. Oprócz WETH wykonał ten sam atak przy użyciu WBTC, LINK i SNX, wszystkie wymienione na tokeny Statera.
Według 1 cala haker byłby „bardzo wyrafinowanym inżynierem inteligentnego kontraktu”
Tożsamość hakera pozostaje tajemnicą, ale analitycy giełdy 1Inch, zdecentralizowanego agregatora wymiany innych niż System Bitcoin, powiedział, że haker dobrze ukrył swoje ślady: eter używany do płacenia opłat transakcyjnych i dystrybucji inteligentnych kontraktów został poddany recyklingowi za pośrednictwem Tornado Cash, usługi miksera z Ethereum.
„Osoba odpowiedzialna za ten atak jest bardzo wyrafinowanym inżynierem inteligentnego kontraktu, posiadającym rozległą wiedzę i zrozumienie głównych protokołów DeFi”, powiedział 1 cal w swoim poście, w którym opowiada o kradzieży.
Ze swojej strony zespół stojący za Staterą odrzucił zarzuty, że protokół był błędny lub celowo zaprojektowany dla tego rodzaju ataku. „Bardzo nam przykro i szczerze przepraszamy wszystkie ofiary tego ataku”, powiedziała Statera w oficjalnym ogłoszeniu.
Projekt dodał, że nie jest w stanie zwrócić ofiarom hakera ofiar. McDonald powiedział, że Balancer Pool zacznie teraz umieszczać na czarnej liście wszystkie tokeny opłaty za transfer, w tym Staterę. W innym audycie McDonald powiedział, że zespół dokona dalszych badań na temat tego, w jaki sposób doszło do włamania i czy istnieją podobne podatności na inne wymienione tokeny.
Atak nie mógł nastąpić w gorszym momencie dla Balancera, który w zeszłym tygodniu wydał swój token zarządzania „BAL”. Dane prasowe CoinGecko pokazują, że tokeny BAL są sprzedawane na poziomie 11 USD, co stanowi spadek o około 5% w ciągu ostatnich 24 godzin.