Nhà cung cấp thanh khoản tài chính phi tập trung (DeFi) Balancer Pool thừa nhận rằng gần đây họ là nạn nhân của một vụ hack tinh vi khai thác tính kỹ thuật trong quá trình này để gian lận giao thức và rút 500.000 đô la token. Ông nói: “Chúng tôi không biết kiểu tấn công cụ thể này có thể xảy ra.
Thủ tục trộm cắp phức tạp
Giám đốc điều hành của Balancer Mike McDonald cho biết trong một bài đăng rằng tin tặc đã mượn mã thông báo WETH trị giá 23 triệu đô la, một mã thông báo được hỗ trợ bởi ether phù hợp cho giao dịch DeFi, trong một khoản vay nhanh dYdX.
Sau đó, anh ấy đã giao dịch nó cho Statera (STA), một mã thông báo đầu tư sử dụng mô hình phí chuyển nhượng trong đó 1% giá trị của nó bị mất mỗi khi nó được giao dịch.
Kẻ tấn công đã thực hiện giao dịch giữa WETH và STA 24 lần, làm trống quỹ tiền mặt STA cho đến khi số dư gần bằng không. Vì Balancer nghĩ rằng anh ta có cùng một lượng STA, anh ta đã phát hành WETH với số lượng tương đương với số dư ban đầu, mang lại cho hacker một khoản tiền lớn hơn cho mỗi giao dịch đã hoàn thành. Ngoài WETH, anh ta đã thực hiện cùng một cuộc tấn công bằng cách sử dụng WBTC, LINK và SNX, tất cả đều được đổi lấy mã thông báo Statera.
Tin tặc sẽ là "một kỹ sư hợp đồng thông minh rất tinh vi" theo 1inch
Danh tính của tin tặc vẫn còn là một bí ẩn, nhưng các nhà phân tích tại 1Inch, một công ty tổng hợp trao đổi phi tập trung khác Hệ thống bitcoin, tuyên bố rằng hacker đã che đậy rất tốt các dấu vết của họ - ether được sử dụng để thanh toán phí giao dịch và phân phối hợp đồng thông minh đã được rửa thông qua Tornado Cash, một dịch vụ trộn dựa trên Ethereum.
“Người đứng sau cuộc tấn công này là một kỹ sư hợp đồng thông minh rất tinh vi với kiến thức sâu rộng và hiểu biết về các giao thức DeFi chính,” 1inch cho biết trong bài đăng của mình chi tiết vụ trộm.
Về phần mình, nhóm nghiên cứu đằng sau Statera đã bác bỏ các cáo buộc rằng giao thức này có sai sót hoặc cố ý được thiết kế cho kiểu tấn công này. "Chúng tôi vô cùng xin lỗi và chân thành gửi lời xin lỗi tới tất cả các nạn nhân của cuộc tấn công này", Statera cho biết trong một thông báo chính thức.
Dự án nói thêm rằng nó không thể hoàn trả cho các nạn nhân bị ảnh hưởng bởi tin tặc. Hiện Balancer Pool sẽ bắt đầu đưa vào danh sách cấm tất cả các token có phí chuyển nhượng, bao gồm cả Statera, McDonald cho biết. Trong một cuộc kiểm tra khác, McDonald cho biết nhóm sẽ nghiên cứu thêm về cách thức hoạt động hack diễn ra và liệu các lỗ hổng tương tự có tồn tại với các mã thông báo được liệt kê khác hay không.
Cuộc tấn công không thể đến vào thời điểm tồi tệ hơn đối với Balancer, công ty đã phát hành mã thông báo quản trị “BAL” vào tuần trước. Vào thời điểm báo chí, dữ liệu của CoinGecko cho thấy mã thông báo BAL đang giao dịch ở mức 11 đô la, giảm khoảng 5% trong 24 giờ qua.
