Protokół DeFi oparty na Ethereum, Balancer, został zhakowany przez hakera po odkryciu luki, która pozwoliła mu ukraść ponad 500.000 XNUMX dolarów w dwóch transakcjach w kilku tokenach zarządzanych przez platformę.
Od kilku tygodni zdecentralizowany ekosystem finansowy (DeFi) odnotowała niesamowity rozwój, a wszystko to dzięki możliwości umożliwienia użytkownikom lepszego zarządzania swoimi zasobami. Ponadto DeFi zapewnia również możliwość generowania dochodów i zysków pule płynności używanych przez różne platformy i z których użytkownicy mogą korzystać, aby oferować lub żądać pożyczek oraz otrzymywać nagrody w postaci odsetek generowanych w wyniku zamrożenia ich tokenów.
Jednak pomimo rosnącego wykorzystania i zaufania do DeFi jasne jest, że programiści nadal muszą pracować nad bezpieczeństwem tych protokołów. Ostatnio platforma dla DeFi oparta na Ethereum, Balancer, padła ofiarą ataku hakera, któremu udało się ukraść z platformy aktywa o wartości 500.000 444.775 dolarów (XNUMX XNUMX euro).
Atak odkrył 1inch.exchange na co zwrócił uwagę w publikacja że hakerowi udało się znaleźć lukę w zabezpieczeniach Automatyczne rynki wielowymiarowe (AMM) który korzysta z platformy.
Może Cię zainteresować: DeFi doświadcza zaskakującego wzrostu po pojawieniu się Compound w ekosystemie Ethereum
Ataki na platformę DeFi Balancer
1inch.exchange informuje, że haker użył pliku inteligentna umowa (inteligentny kontrakt), w którym zautomatyzował kilka działań, które należy wykonać w złożonej transakcji, a następnie wysłał transakcję do głównej sieci Ethereum, za pomocą której spowodował atak na dwie pule płynności Balancera.
Ze swojej strony kilka godzin później Balancer potwierdził atak, publikując artykuł gdzie wyjaśnił więcej szczegółów tego, co się stało. Jak wyjaśniono Mike McDonald, CTO Balancer Pool, hakerowi udało się wypłacić środki w tokenach STA y STONK w dwóch pulach płynności zarządzanych przez protokół.
Z opisu ataku wynika, że najpierw haker uzyskał dostęp do pożyczki Pożyczka błyskawiczna na Ethereum ze zdecentralizowanej platformy dYdX. Po zdobyciu ETH zamienił je na token WETH. Pożyczka flash, którą uzyskał haker, wyniosła 104.000 20,4 ETH, co stanowi równowartość około XNUMX miliona dolarów w oparciu o wartość Ethereum w momencie tej publikacji.
Należy zauważyć że Pożyczki błyskawiczne lub pożyczki błyskawiczne obejmują pożyczki udzielane bez zabezpieczenia, przy użyciu inteligentnej umowy w celu uzyskania aktywów, a następnie spłacenia pożyczki w tej samej transakcji. Może to brzmieć jak wada dowolnego systemu, ale nie, są to funkcje, z których zaczęło korzystać wiele protokołów DeFi. Jednak w przeszłości te pożyczki błyskawiczne wykazały pewne luki w niektórych protokołach. Umożliwiło to hakerom wykorzystanie inteligentnej umowy pożyczki flash i zatrzymanie środków bez ich zwrotu. Dzięki temu atakowi haker może wykorzystać inne istniejące luki w innych protokołach, dokładnie tak, jak miało to miejsce w przypadku Balancera.
Tym razem haker Balancer wymienił środki dostępne w ETH na token wETH. Następnie wymienił wETH na token STA (statera), wykonując tę wymianę wielokrotnie, aż do ukończenia 24 wymian z tymi samymi tokenami. Po wykonaniu tej procedury haker doprowadził do błędu w inteligentnej umowie, co pozwoliło mu uzyskać część środków dostępnych w protokole.
Algorytm deflacyjny Statery może być przyczyną kradzieży środków platformy
Twórcy szacują, że było to spowodowane zastosowanym w nim algorytmem deflacyjnym Statera że hakerowi udało się zdobyć środki Balancera. Dzieje się tak dlatego, że za każdym razem, gdy w ramach protokołu następuje transakcja, do puli trafia 1% mniej od całkowitej wartości transakcji. Ten 1% mniej wynika z faktu, że ten procent tokenów jest spalany automatycznie przy każdej operacji. Wydaje się, że haker wykorzystał tę sytuację, dokonując 24-krotnej zmiany z wETH na STA. W wyniku tej akcji protokół Statera w każdej interakcji otrzymał token o 1% mniej niż oczekiwano.
Następnie McDonald wskazuje, że haker wymienił STA za pomocą weiSTA, jednej miliardowej tokena STA, na kilka tokenów, w tym LINK, wBTC, rozszerzenie SNX, przy czym te dwa ostatnie to tokeny Bitcoin w sieci Ethereum. Następnie, ze względu na algorytm deflacyjny platformy, weiSTA nie dokończyły wymiany tokenów, więc haker mógł wielokrotnie wykonać operację, wymieniając weiSTA na te tokeny dostępne na Balancerze, pobierając środki dostępne na platformie Statera.
W sumie z raportu wynika, że podczas pierwszego ataku hakerowi udało się uzyskać kwotę 500.000 XNUMX dolarów.
Zgłoszono drugi atak
Chociaż drugi przeprowadzony atak był znacznie mniejszy niż poprzedni, kilku programistów zgłosiło, że jest zaangażowanych w audyt platform w celu sprawdzenia i naprawienia istniejących luk w protokołach.
Drugi atak miał miejsce niecałe 24 godziny po wykonaniu pierwszego, ale skupiał się on na tokenie COMP platformy Mieszanka. Sposób przeprowadzenia drugiego ataku jest dość podobny do pierwszego, ale hakerowi udało się uzyskać łącznie jedynie 10 punktów COMP, co w momencie publikacji tej publikacji stanowi równowartość około 2.300 dolarów.
Społeczność Crypto wypowiada się po atakach
Do tej pory kilka osobistości ze społeczności kryptowalut wyraziło swoje opinie na temat tych ataków na ekosystemy DeFi, wskazując głównie, że Balancer wiedział o luce w swoim protokole, ale nie zgłosił się ani nie pracował na czas, aby ją naprawić, dlatego haker wykorzystał sytuację.
W obliczu zarzutów Mike McDonald przeprosił za niepodjęcie na czas działań w celu naprawienia luki, chociaż twierdzą, że nie mieli pojęcia, że ten konkretny typ ataku jest możliwy na Balancer.
Kontynuuj czytanie: Ren Protocol, Synthetix i Curve Finance wdrażają rentowność dla Bitcoina
