Poskytovateľ likvidity decentralizovaného financovania (DeFi) Balancer Pool pripustil, že sa nedávno stal obeťou sofistikovaného hackingu, ktorý využil technickú stránku procesu na podvádzanie protokolu a výber žetónov vo výške 500.000 XNUMX dolárov. "Nevedeli sme, že je tento konkrétny typ útoku možný," uviedol.
Zložitý postup krádeže
CTO Balancer Mike McDonald v príspevku uviedol, že hacker si vo flash pôžičke dYdX požičal tokeny WETH v hodnote 23 miliónov dolárov, čo je éterom krytý token vhodný na obchodovanie s DeFi.
Potom ho vymenil za Stateru (STA), investičný token, ktorý využíva model poplatku za prevod, pri ktorom sa pri každom obchodovaní stratí 1% z jeho hodnoty.
Útočník uskutočnil obchod medzi WETH a STA 24-krát a vyprázdnil hotovostný fond STA, kým zostatok nebol takmer nulový. Keďže si Balancer myslel, že má rovnaké množstvo STA, vydal WETH v sumách ekvivalentných pôvodnému zostatku, čím hackerovi poskytol väčšiu maržu za každý dokončený obchod. Okrem WETH vykonal rovnaký útok pomocou WBTC, LINK a SNX, všetky vymenil za tokeny Statera.
Podľa 1 palca by bol hacker „veľmi prepracovaný inteligentný kontraktor“
Identita hackera zostáva záhadou, ale analytici v spoločnosti 1Inch, decentralizovanom agregátore výmen okrem Bitcoinový systém, tvrdil, že hacker dobre kryl svoje stopy: éter používaný na platenie transakčných poplatkov a distribúciu inteligentných zmlúv bol prepraný prostredníctvom mixovacej služby založenej na ethereu Tornado Cash.
"Osoba, ktorá stojí za týmto útokom, je veľmi sofistikovaný inteligentný zmluvný inžinier s rozsiahlymi znalosťami a znalosťami hlavných protokolov DeFi," uviedol vo svojom príspevku 1inch s podrobnosťou o krádeži.
Tím stojaci za Staterou odmietol obvinenia, že protokol bol chybný alebo zámerne navrhnutý pre tento typ útoku. „Je nám to hlboko ľúto a úprimne sa ospravedlňujeme všetkým obetiam tohto útoku,“ uviedla Statera v oficiálnom oznámení.
Projekt dodal, že nie je schopný zaplatiť obete postihnuté hackerom. Balancer Pool teraz začne na čiernu listinu všetkých tokenov s poplatkami za prevod, vrátane Statery, uviedol McDonald. V rámci iného auditu McDonald uviedol, že tím vykoná ďalší prieskum o tom, ako k hackerstvu došlo a či existujú podobné zraniteľnosti aj v prípade ostatných uvedených tokenov.
Útok nemohol prísť v horšom čase pre spoločnosť Balancer, ktorá minulý týždeň vydala svoj token riadenia „BAL“. V čase tlače údaje CoinGecko ukazujú, že tokeny BAL sa obchodujú na úrovni 11 USD, čo je pokles o zhruba 5% za posledných 24 hodín.
