Le protocole DeFi basé sur Ethereum, Balancer, a été piraté par un pirate informatique après avoir découvert une vulnérabilité qui lui a permis de voler plus de 500.000 XNUMX $ en deux transactions sur plusieurs jetons gérés par la plateforme.
Depuis quelques semaines maintenant, l'écosystème de la finance décentralisée (DeFi) a connu une croissance incroyable, tout cela grâce à la capacité de permettre aux utilisateurs de mieux gérer leurs actifs. De plus, DeFi offre également la possibilité de générer des revenus et des bénéfices grâce à pools de liquidité qui sont utilisés par diverses plateformes, et dont les utilisateurs peuvent profiter pour proposer ou demander des prêts et recevoir des récompenses grâce aux intérêts générés par le gel de leurs tokens.
Cependant, malgré l’utilisation et la confiance croissantes dans DeFi, il est clair que les développeurs doivent encore travailler sur la sécurité de ces protocoles. Récemment, la plateforme DeFi basée sur Ethereum, Balancer, a été victime d'une attaque d'un hacker qui a réussi à voler 500.000 444.775 $ (XNUMX XNUMX €) d'actifs sur la plateforme.
L'attaque a été découverte par 1inch.exchange qu'il a souligné dans un Publicación que le pirate informatique a pu trouver une vulnérabilité dans le Marchés multidimensionnels automatiques (AMM) qui utilise la plateforme.
Il peut vous intéresser: DeFi connaît une croissance surprenante après l'arrivée de Compound dans cet écosystème Ethereum
Attaques sur la plateforme DeFi Balancer
1inch.exchange rapporte que le pirate informatique a utilisé un contrat intelligent (contrat intelligent) dans lequel il a automatisé plusieurs des actions à effectuer dans une transaction complexe, puis a envoyé la transaction au réseau principal Ethereum avec lequel il a provoqué l'attaque de deux des pools de liquidité de Balancer.
De son côté, quelques heures plus tard, Balancer confirmait l'attaque en publiant un artículo où il a expliqué plus de détails sur ce qui s'est passé. Comme expliqué Mike McDonald, CTO de Balancer Pool, le hacker a pu retirer les fonds en tokens STA y PIÈCE dans deux des pools de liquidité gérés par le protocole.
La description de l'attaque indique que, dans un premier temps, le pirate informatique a eu accès à un prêt Prêt Flash sur Ethereum depuis la plateforme décentralisée dYdX. Une fois qu’il a obtenu les ETH, il les a convertis en token WETH. Le prêt flash obtenu par le pirate informatique s'élevait à 104.000 20,4 ETH, ce qui équivaut à environ XNUMX millions de dollars sur la base de la valeur d'Ethereum au moment de cette publication.
Il faut noter que Les prêts flash ou prêts flash consistent en des prêts accordés sans garantie, en utilisant un contrat intelligent pour obtenir les actifs, puis payer le prêt dans la même transaction.. Cela peut ressembler à une faille dans n'importe quel système, mais non, il s'agit d'une fonctionnalité que de nombreux protocoles DeFi ont commencé à utiliser. Cependant, ces prêts flash ont montré dans le passé certaines vulnérabilités dans certains protocoles. Cela a permis aux pirates informatiques d’exploiter le contrat intelligent de prêt flash et de conserver les fonds sans les restituer. Grâce à cette attaque, le pirate informatique peut exploiter d'autres vulnérabilités existantes dans d'autres protocoles, exactement comme cela s'est produit dans Balancer.
Cette fois, le pirate informatique de Balancer a échangé les fonds disponibles en ETH contre le jeton wETH. Puis il a échangé wETH contre le jeton STA (Statère), effectuant cet échange à plusieurs reprises jusqu'à terminer 24 échanges avec les mêmes jetons. Une fois cette routine réalisée, le hacker a provoqué une erreur dans le contrat intelligent, ce qui lui a permis d'obtenir une partie des fonds disponibles dans le protocole.
L'algorithme déflationniste de Statera pourrait être à l'origine du vol des fonds de la plateforme
Les développeurs estiment que c’est à cause de l’algorithme déflationniste qu’ils utilisent. solde que le pirate informatique a pu mettre la main sur les fonds Balancer. En effet, chaque fois qu'une transaction a lieu au sein du protocole, le pool reçoit 1 % de moins de la valeur totale de la transaction. Ce 1% de moins est dû au fait que ce pourcentage de jetons est brûlé automatiquement à chaque fois qu'une opération se produit. Cette situation semble être ce que le pirate a exploité en effectuant le passage de wETH à STA 24 fois, une action dans laquelle le protocole Statera a reçu 1% de moins que prévu dans le jeton, à chaque interaction.
McDonald indique alors que le hacker a échangé le STA utilisant weiSTA, soit un milliardième du token STA, contre plusieurs tokens dont LINK, wBTC, SNX, ces deux derniers étant des tokens Bitcoin sur le réseau Ethereum. Ensuite, en raison de l'algorithme déflationniste de la plateforme, les weiSTA n'ont pas terminé l'échange de jetons, le pirate a donc pu effectuer l'opération à plusieurs reprises en échangeant les weiSTA contre ces jetons disponibles sur Balancer, extrayant ainsi les fonds disponibles sur la plateforme Statera.
Au total, le rapport indique que le pirate informatique a pu obtenir la somme de 500.000 XNUMX $ lors de la première attaque.
Une deuxième attaque a été signalée
Bien que la deuxième attaque menée ait été considérablement plus petite que la précédente, plusieurs développeurs ont indiqué qu'ils s'engageaient à auditer les plateformes pour examiner et corriger les vulnérabilités existantes dans les protocoles.
La deuxième attaque a eu lieu moins de 24 heures après l'exécution de la première, mais elle était concentrée sur le jeton COMP de la plateforme. Composant. La manière dont cette deuxième attaque a été exécutée est assez similaire à la première, mais le pirate n'a pu obtenir qu'un total de 10 COMP, ce qui équivaut à environ 2.300 XNUMX $ au moment de cette publication.
La communauté cryptographique s'exprime après les attaques
Jusqu'à présent, plusieurs personnalités de la communauté crypto ont exprimé leur avis concernant ces attaques contre les écosystèmes DeFi, soulignant principalement que Balancer connaissait la vulnérabilité de son protocole mais ne l'a pas signalé ou n'a pas travaillé à temps pour la corriger, c'est pourquoi le hacker profité.
Face aux accusations, Mike McDonald excusé pour ne pas avoir pris de mesures à temps pour corriger la vulnérabilité, même s'ils affirment qu'ils n'avaient aucune idée que ce type spécifique d'attaque était possible sur Balancer.
Continuer la lecture: Ren Protocol, Synthetix et Curve Finance mettent en œuvre une agriculture de rendement pour Bitcoin
