O provedor de liquidez financeira descentralizada (DeFi) Balancer Pool admitiu ter sido recentemente vítima de um hack sofisticado que explorou uma falha no procedimento para enganar o protocolo e retirar tokens por US $ 500.000. "Não sabíamos que esse tipo específico de ataque era possível", afirmou.
O complexo procedimento de roubo
O CTO da Balancer, Mike McDonald, disse em um post que o hacker havia emprestado US $ 23 milhões em fichas WETH, um token suportado por éter adequado para negociação com DeFi, em um empréstimo instantâneo da dYdX.
Em seguida, ele o trocou pelo Statera (STA), um token de investimento que usa um modelo de taxa de transferência pelo qual 1% de seu valor é perdido toda vez que é negociado.
O atacante realizou a troca entre WETH e STA 24 vezes, esvaziando o pool de liquidez da STA até que o saldo fosse quase zero. Como o Balancer achou que tinha a mesma quantidade de STA, ele lançou o WETH em quantidades equivalentes ao saldo original, dando ao hacker uma margem maior para cada transação concluída. Além do WETH, ele realizou o mesmo ataque usando WBTC, LINK e SNX, todos trocados por tokens Statera.
O hacker seria "um engenheiro de contrato inteligente muito sofisticado", de acordo com 1 polegada
A identidade do hacker permanece um mistério, mas analistas da bolsa 1Inch, um agregador descentralizado de câmbio que não seja Sistema Bitcoin, disse que o hacker cobriu bem seus rastros: o éter usado para pagar taxas de transação e distribuir contratos inteligentes foi reciclado através do Tornado Cash, um serviço de misturador baseado no Ethereum.
"A pessoa por trás desse ataque é um engenheiro de contrato inteligente muito sofisticado, com amplo conhecimento e entendimento dos principais protocolos DeFi", disse 1 polegada em seu post no qual fala sobre o roubo.
Por seu lado, a equipe por trás do Statera rejeitou as alegações de que o protocolo era falacioso ou intencionalmente projetado para esse tipo de ataque. "Lamentamos profundamente e pedimos sinceras desculpas a todas as vítimas deste ataque", disse Statera em comunicado oficial.
O projeto acrescentou que não pode reembolsar as vítimas afetadas pelo hacker. O Balancer Pool agora começará a colocar na lista negra todos os tokens de taxa de transferência, incluindo Statera, disse McDonald. Em outra auditoria, McDonald disse que a equipe fará pesquisas adicionais sobre como os hackers ocorreram e se existem vulnerabilidades semelhantes com outros tokens listados.
O ataque não poderia ter sido pior para Balancer, que lançou seu token de governança "BAL" na semana passada. Até o momento, os dados do CoinGecko mostram que os tokens BAL estão sendo negociados no nível de US $ 11, uma queda de cerca de 5% nas últimas 24 horas.
