Furnizorul de lichidități descentralizate (DeFi), Balancer Pool, a recunoscut că a fost recent victima unui hack sofisticat care a exploatat o tehnicitate în acest proces pentru a înșela protocolul și a retrage jetoane de 500.000 de dolari. "Nu știam că acest tip specific de atac este posibil", a spus el.
Procedura complexă a furtului
CTO-ul Balancer Mike McDonald a declarat într-o postare că hackerul a împrumutat jetoane WETH în valoare de 23 de milioane de dolari, care este un jeton susținut de eter potrivit pentru tranzacționarea DeFi, într-un împrumut flash de la dYdX.
Apoi l-a tranzacționat pentru Statera (STA), un jeton de investiție care folosește un model de taxă de transfer în care se pierde 1% din valoarea sa de fiecare dată când este tranzacționat.
Atacatorul a executat tranzacția dintre WETH și STA de 24 de ori, golind fondul de numerar STA până când soldul a fost aproape zero. Din moment ce Balancer credea că are aceeași cantitate de STA, el a eliberat WETH în sume echivalente cu soldul inițial, oferind hackerului o marjă mai mare pentru fiecare tranzacție finalizată. Pe lângă WETH, a efectuat același atac folosind WBTC, LINK și SNX, toate schimbate cu jetoane Statera.
Hackerul ar fi „un inginer de contracte inteligent foarte sofisticat”, potrivit 1 inch
Identitatea hackerului rămâne un mister, dar analiștii de la 1 inch, un agregator de schimb descentralizat, altul decât Sistemul Bitcoin, a susținut că hackerul și-a acoperit bine urmele - eterul folosit pentru a plăti taxe de tranzacționare și a distribui contracte inteligente a fost spălat prin Tornado Cash, un serviciu de mixer bazat pe Ethereum.
„Persoana care stă la baza acestui atac este un inginer contractual foarte sofisticat, cu cunoștințe extinse și înțelegere a principalelor protocoale DeFi”, a spus 1 inch în postarea sa care detaliază furtul.
La rândul său, echipa din spatele Statera a respins acuzațiile potrivit cărora protocolul a fost defect sau conceput intenționat pentru acest tip de atac. "Ne pare rău profund și oferim sincer scuze tuturor victimelor acestui atac", a declarat Statera într-un anunț oficial.
Proiectul a adăugat că nu poate rambursa victimele afectate de hacker. Balancer Pool va începe acum să înscrie pe lista neagră toate jetoanele cu taxe de transfer, inclusiv Statera, a spus McDonald. Într-un alt audit, McDonald a spus că echipa va face cercetări suplimentare cu privire la modul în care a avut loc hacking-ul și dacă există vulnerabilități similare cu alte jetoane listate.
Atacul nu ar fi putut veni într-un moment mai rău pentru Balancer, care și-a lansat săptămâna trecută jetonul de guvernare „BAL”. La ora presării, datele CoinGecko arată că jetoanele BAL se tranzacționează la nivelul de 11 USD, în scădere cu aproximativ 5% în ultimele 24 de ore.
