Das auf Ethereum basierende DeFi-Protokoll Balancer wurde von einem Hacker gehackt, nachdem er eine Schwachstelle entdeckt hatte, die es ihnen ermöglichte, in zwei Transaktionen in mehreren von der Plattform verwalteten Token mehr als 500.000 US-Dollar zu stehlen.
Seit einigen Wochen ist das dezentrale Finanzökosystem (DeFi) hat ein unglaubliches Wachstum erlebt, alles dank der Möglichkeit, Benutzern eine bessere Möglichkeit zu bieten, ihre Vermögenswerte zu verwalten. Darüber hinaus bietet DeFi auch die Möglichkeit, Einnahmen und Gewinne zu erzielen Liquiditätspools die von verschiedenen Plattformen verwendet werden und die Benutzer nutzen können, um Kredite anzubieten oder anzufordern und Belohnungen durch die Zinsen zu erhalten, die durch das Einfrieren ihrer Token entstehen.
Trotz der wachsenden Nutzung und des zunehmenden Vertrauens in DeFi ist jedoch klar, dass Entwickler noch an der Sicherheit dieser Protokolle arbeiten müssen. Kürzlich basiert die Plattform für DeFi auf Ethereum, Balancer, wurde Opfer eines Hackerangriffs, dem es gelang, 500.000 US-Dollar (444.775 Euro) an Vermögenswerten von der Plattform zu stehlen.
Der Angriff wurde entdeckt von 1inch.exchange worauf er in a hinwies Veröffentlichung dass der Hacker eine Schwachstelle im finden konnte Automatische mehrdimensionale Märkte (AMM) das die Plattform nutzt.
Es könnte Sie interessieren: DeFi erlebt nach der Einführung von Compound in diesem Ethereum-Ökosystem ein überraschendes Wachstum
Angriffe auf die DeFi Balancer-Plattform
1inch.exchange berichtet, dass der Hacker a Smart-Vertrag (Smart Contract), bei dem es mehrere der in einer komplexen Transaktion auszuführenden Aktionen automatisierte und die Transaktion dann an das Ethereum-Hauptnetzwerk schickte, mit dem es den Angriff auf zwei der Liquiditätspools von Balancer verursachte.
Balancer seinerseits bestätigte den Angriff wenige Stunden später durch die Veröffentlichung eines articulo wo er weitere Details darüber erklärte, was passiert ist. Wie erklärt Mike McDonald, CTO von Balancer Pool, konnte der Hacker die Gelder in Token abheben STA y STEIN in zwei der vom Protokoll verwalteten Liquiditätspools.
In der Beschreibung des Angriffs heißt es, dass sich der Hacker zunächst Zugang zu einem Kredit verschafft habe Flash-Darlehen auf Ethereum von der dezentralen Plattform dYdX. Nachdem er die ETH erhalten hatte, wandelte er sie in den Token um WETH. Der Schnellkredit, den der Hacker erhielt, belief sich auf 104.000 ETH, was etwa 20,4 Millionen US-Dollar entspricht, basierend auf dem Wert von Ethereum zum Zeitpunkt dieser Veröffentlichung.
Es sollte erwähnt werden, dass Bei Flash-Krediten oder Flash-Darlehen handelt es sich um Kredite, die ohne Sicherheiten vergeben werden, wobei ein Smart Contract verwendet wird, um die Vermögenswerte zu erhalten und dann den Kredit in derselben Transaktion abzubezahlen. Es mag wie ein Fehler in jedem System klingen, aber nein, es handelt sich dabei um eine Funktionalität, die viele DeFi-Protokolle mittlerweile nutzen. Es hat sich jedoch in der Vergangenheit gezeigt, dass diese Schnellkredite in einigen Protokollen einige Schwachstellen aufweisen. Dies ermöglichte es Hackern, den Flash-Darlehens-Smart-Vertrag auszunutzen und die Gelder zu behalten, ohne sie zurückzugeben. Durch diesen Angriff kann der Hacker andere bestehende Schwachstellen in anderen Protokollen ausnutzen, genau wie es bei Balancer geschehen ist.
Diesmal tauschte der Balancer-Hacker die in der ETH verfügbaren Gelder gegen den wETH-Token ein. Dann tauschte er wETH gegen den Token STA (Statera), wobei dieser Austausch wiederholt durchgeführt wird, bis 24 Austausche mit denselben Token abgeschlossen sind. Sobald diese Routine ausgeführt wurde, verursachte der Hacker einen Fehler im Smart Contract, der es ihm ermöglichte, einen Teil der im Protokoll verfügbaren Mittel zu erhalten.
Der deflationäre Algorithmus von Statera könnte die Ursache für den Diebstahl von Plattformgeldern sein
Die Entwickler gehen davon aus, dass dies an dem verwendeten deflationären Algorithmus liegt Statera dass der Hacker in der Lage war, an Balancer-Gelder zu gelangen. Dies liegt daran, dass der Pool jedes Mal, wenn eine Transaktion innerhalb des Protokolls stattfindet, 1 % weniger des Gesamtwerts der Transaktion erhält. Diese 1 % weniger sind auf die Tatsache zurückzuführen, dass dieser Prozentsatz der Token bei jedem Vorgang automatisch verbrannt wird. Diese Situation scheint der Hacker ausgenutzt zu haben, indem er 24 Mal von wETH zu STA wechselte, eine Aktion, bei der das Statera-Protokoll bei jeder Interaktion 1 % weniger als erwartet im Token erhielt.
McDonald gibt dann an, dass der Hacker den STA mit weiSTA, einem Milliardstel des STA-Tokens, gegen mehrere Token eingetauscht hat, darunter LINK, wBTC, SNX, wobei es sich bei den letzten beiden um Bitcoin-Token im Ethereum-Netzwerk handelt. Dann konnten die weiSTAs aufgrund des deflationären Algorithmus der Plattform den Token-Austausch nicht abschließen, sodass der Hacker den Vorgang wiederholt durchführen konnte, indem er die weiSTAs gegen diese auf Balancer verfügbaren Token austauschte und so die auf der Statera-Plattform verfügbaren Gelder abzog.
Insgesamt geht aus dem Bericht hervor, dass der Hacker beim ersten Angriff einen Betrag von 500.000 US-Dollar erbeuten konnte.
Ein zweiter Angriff wurde gemeldet
Obwohl der zweite durchgeführte Angriff deutlich kleiner ausfiel als der vorherige, gaben mehrere Entwickler an, dass sie sich verpflichtet haben, die Plattformen zu prüfen, um bestehende Schwachstellen in den Protokollen zu überprüfen und zu beheben.
Der zweite Angriff erfolgte weniger als 24 Stunden nach der Ausführung des ersten, konzentrierte sich jedoch auf den COMP-Token der Plattform Compounds. Die Art und Weise, wie dieser zweite Angriff ausgeführt wurde, ist dem ersten ziemlich ähnlich, allerdings konnte der Hacker insgesamt nur 10 COMP erreichen, was zum Zeitpunkt dieser Veröffentlichung etwa 2.300 US-Dollar entspricht.
Krypto-Community äußert sich nach Angriffen
Bisher haben mehrere Persönlichkeiten der Krypto-Community ihre Meinung zu diesen Angriffen auf das DeFi-Ökosystem geäußert und dabei vor allem darauf hingewiesen, dass Balancer von der Schwachstelle in seinem Protokoll wusste, diese jedoch nicht gemeldet oder nicht rechtzeitig daran gearbeitet hat, sie zu beheben, weshalb der Hacker nutzte die Situation aus.
Angesichts der Vorwürfe, Mike McDonald entschuldigte sich dafür, dass sie nicht rechtzeitig Maßnahmen ergriffen haben, um die Schwachstelle zu beheben, obwohl sie behaupten, sie hätten keine Ahnung gehabt, dass diese spezielle Art von Angriff auf Balancer möglich sei.
Weiterlesen: Ren Protocol, Synthetix und Curve Finance implementieren Yield Farming für Bitcoin
