Il fornitore di liquidità nel settore della finanza decentralizzata (DeFi) Balancer Pool ha ammesso di essere recentemente stato vittima di un sofisticato hack che ha sfruttato un cavillo nella procedura per ingannare il protocollo e prelevare token per 500.000 $. “Non sapevamo che questo specifico tipo di attacco fosse possibile.”, ha detto.
La complessa procedura del furto
Il CTO di Balancer Mike McDonald ha affermato in un post che il pirata informatico aveva preso in prestito token WETH per un valore di 23 milioni di dollari, ovvero un token supportato da ether adatto al trading DeFi, in un prestito flash di dYdX.
Egli lo ha quindi scambiato con Statera (STA), un token di investimento che utilizza un modello di commissione di trasferimento per cui viene perso l’1% del suo valore ogni volta che viene scambiato.
Il malintenzionato ha eseguito lo scambio tra WETH e STA 24 volte, svuotando il pool di liquidità STA fino a quando il saldo non è risultato quasi nullo. Poiché Balancer pensava che egli avesse la stessa quantità di STA, ha rilasciato WETH in quantità equivalenti al saldo originale, dando all’hacker un margine più ampio per ogni operazione completata. Oltre a WETH, egli ha eseguito lo stesso attacco usando WBTC, LINK e SNX, tutti scambiati con i token Statera.
L’hacker sarebbe “un ingegnere di smart contract molto sofisticato” secondo 1inch
L’identità dell’hacker rimane un mistero, ma gli analisti dell’exchange 1Inch, un aggregatore di exchange decentralizzato diverso da Bitcoin System, hanno affermato che l’hacker ha coperto bene le proprie tracce: l’ether utilizzato per pagare commissioni di transazione e distribuire smart contract è stato riciclato attraverso Tornado Cash, un servizio di mixer basato su Ethereum.
“La persona dietro questo attacco è un ingegnere di smart contract molto sofisticato con una vasta conoscenza e comprensione dei principali protocolli DeFi”, ha dichiarato 1inch nel suo post in cui racconta del furto.
Da parte sua, il team dietro a Statera ha respinto le accuse secondo cui il protocollo era fallace o intenzionalmente progettato per questo tipo di attacco. “Siamo profondamente dispiaciuti, e porgiamo sinceramente le nostre scuse a tutte le vittime di questo attacco”, ha dichiarato Statera in un annuncio ufficiale.
Il progetto ha aggiunto che non è in grado di rimborsare le vittime colpite dall’hacker. Balancer Pool inizierà ora a inserire nella blacklist tutti i token con commissioni di trasferimento, incluso Statera, ha affermato McDonald. In un altro audit, McDonald ha affermato che il team farà ulteriori ricerche su come è avvenuto l’hacking e se esistono vulnerabilità simili con altri token elencati.
L’attacco non sarebbe potuto arrivare in un momento peggiore per Balancer, che ha rilasciato il proprio token di governance “BAL” la scorsa settimana. Al momento della stampa, i dati di CoinGecko mostrano che i token BAL vengono scambiati al livello di 11 $, in calo di circa il 5% nelle ultime 24 ore.
