Merkezi olmayan finans (DeFi) likidite sağlayıcısı Balancer Pool, son zamanlarda protokolü aldatma ve 500.000 $ tokenı geri çekme sürecinde teknik bir özellikten yararlanan karmaşık bir hacklemenin kurbanı olduğunu itiraf etti. "Bu tür bir saldırının mümkün olduğunu bilmiyorduk" dedi.
Hırsızlığın karmaşık prosedürü
Dengeleyici CTO'su Mike McDonald, bir gönderide hacker'ın dYdX'ten bir flash kredi ile DeFi ticareti için uygun eter destekli bir token olan 23 milyon dolarlık WETH tokenini ödünç aldığını söyledi.
Daha sonra, her işlem yapıldığında değerinin% 1'inin kaybedildiği bir transfer ücreti modelini kullanan bir yatırım jetonu olan Statera (STA) için ticaret yaptı.
Saldırgan, WETH ve STA arasındaki ticareti 24 kez gerçekleştirdi ve STA nakit havuzunu bakiye neredeyse sıfır olana kadar boşalttı. Balancer, aynı miktarda STA'ya sahip olduğunu düşündüğünden, orijinal bakiyeye eşdeğer miktarlarda WETH'i serbest bıraktı ve hacker'a tamamlanan her işlem için daha büyük bir marj verdi. WETH'e ek olarak, WBTC, LINK ve SNX kullanarak aynı saldırıyı gerçekleştirdi ve hepsi Statera tokenleri ile takas edildi.
1 inç'e göre bilgisayar korsanı "çok sofistike bir akıllı sözleşme mühendisi" olacaktır.
Bilgisayar korsanının kimliği bir sır olarak kalmaya devam ediyor, ancak 1Inch'teki analistler, merkezi olmayan bir borsa toplayıcı Bitcoin Sistemi, bilgisayar korsanının izlerini iyi koruduğunu iddia etti - işlem ücretlerini ödemek ve akıllı sözleşmeleri dağıtmak için kullanılan eter, Ethereum tabanlı bir mikser hizmeti olan Tornado Cash aracılığıyla aklandı.
1inch hırsızlığı detaylandıran gönderisinde, "Bu saldırının arkasındaki kişi, ana DeFi protokolleri hakkında kapsamlı bilgi ve anlayışa sahip çok sofistike bir akıllı sözleşme mühendisi" dedi.
Statera'nın arkasındaki ekip, protokolün yanlış olduğu veya kasıtlı olarak bu tür bir saldırı için tasarlandığı yönündeki iddiaları reddetti. Statera resmi bir açıklamada, "Çok üzgünüz ve bu saldırının tüm kurbanlarından içtenlikle özür dileriz." Dedi.
Proje, bilgisayar korsanı tarafından etkilenen mağdurlara tazminat ödeyemeyeceğini de sözlerine ekledi. McDonald, Dengeleyici Havuzunun Statera dahil olmak üzere tüm tokenları transfer ücretleriyle kara listeye almaya başlayacağını söyledi. Başka bir denetimde McDonald, ekibin bilgisayar korsanlığının nasıl gerçekleştiğine ve listelenen diğer belirteçlerde benzer güvenlik açıklarının olup olmadığına dair daha fazla araştırma yapacağını söyledi.
Saldırı, geçen hafta "BAL" yönetim jetonunu yayınlayan Balancer için daha kötü bir zamanda olamazdı. Basın zamanında, CoinGecko verileri BAL tokenlerinin son 11 saatte yaklaşık% 5 düşüşle 24 $ seviyesinde işlem gördüğünü gösteriyor.
