Den decentraliserade finansiella (DeFi) likviditetsleverantören Balancer Pool medgav att det nyligen var offer för ett sofistikerat hack som utnyttjade en teknisk funktion i förfarandet för att fuska protokollet och ta ut $ 500.000 tokens. "Vi visste inte att denna specifika typ av attack var möjlig," sa han.
Det komplexa förfarandet för stöld
Balancer CTO Mike McDonald sa i ett inlägg att hackaren hade lånat 23 miljoner dollar i WETH-tokens, vilket är en eter-backad token som är lämplig för DeFi-handel, i ett dYdX-flashlån.
Han bytte den sedan mot Statera (STA), en investeringskod som använder en överföringsavgiftsmodell där 1% av dess värde går förlorat varje gång det handlas.
Angriparen utförde handeln mellan WETH och STA 24 gånger och tömde STAs likviditetspool tills saldot var nästan noll. Eftersom Balancer trodde att han hade samma mängd STA, släppte han WETH i belopp motsvarande det ursprungliga saldot, vilket gav hackaren en större marginal för varje genomförd handel. Förutom WETH utförde han samma attack med WBTC, LINK och SNX, allt utbytt mot Statera-tokens.
Hackaren skulle vara "en mycket sofistikerad smart entreprenör" enligt 1 tum
Hackarens identitet är fortfarande ett mysterium, men analytiker på 1Inch, en decentraliserad utbytesaggregat annan än Bitcoin-systemet, sa hackaren täckt sina spår bra: etern som används för att betala transaktionsavgifter och distribuera smarta kontrakt tvättades genom Tornado Cash, en Ethereum-baserad mixertjänst.
”Personen bakom denna attack är en mycket sofistikerad smart entreprenör med omfattande kunskap och förståelse för de viktigaste DeFi-protokollen,” sa 1inch i sitt inlägg om stölden.
För sin del har teamet bakom Statera förnekat anklagelser om att protokollet var otrevligt eller avsiktligt utformat för denna typ av attack. "Vi är djupt ledsna och uppriktigt ber våra ursäkter till alla offer för denna attack", sade Statera i ett officiellt tillkännagivande.
Projektet tillade att det inte går att ersätta offer som drabbats av hackaren. Balancer Pool kommer nu att börja svartlista alla polletter med överföringsavgifter, inklusive Statera, sa McDonald. I en annan granskning sa McDonald att teamet kommer att göra ytterligare undersökningar om hur hackingen ägde rum och om liknande sårbarheter finns med andra listade tokens.
Attacken kunde inte ha kommit vid en sämre tidpunkt för Balancer, som släppte sin "BAL" -styrningstoken förra veckan. Vid presstid visar data från CoinGecko att BAL-token handlas på $ 11-nivå, vilket har minskat med cirka 5% under det senaste dygnet.
