Un pirate informatique détourne 500 000 $ du fournisseur de liquidités DeFi Balancer

« Nous n’étions pas conscients que ce type d’attaque était possible. »

Le fournisseur de liquidités Finance décentralisées (DeFi) Balancer Pool a admis tôt lundi matin avoir été victime d'un piratage sophistiqué qui a exploité une faille, trompant le protocole pour qu'il libère 500 000 $ de jetons.

Dans unarticle de blogMike McDonald, directeur technique de Balancer , a déclaré que l'attaquant avait emprunté 23 millions de dollars de jetons WETH, un étherUn jeton adossé à un actif adapté au trading DeFi, dans le cadre d'un prêt flash de DYDX. Ils ont ensuite échangé, contre eux-mêmes, avec Statera (STA), un jeton d'investissement qui utilise un modèle de frais de transfert et brûle 1 % de sa valeur à chaque transaction.

L'attaquant a alterné entre WETH et STA à 24 reprises, vidant la réserve de liquidités STA jusqu'à ce que le solde soit quasiment nul. Croyant disposer du même montant de STA, Balancer a libéré une quantité de WETH équivalente au solde initial, offrant ainsi à l'attaquant une marge plus importante pour chaque transaction réalisée.

En plus de WETH, l'attaquant a effectué la même attaque en utilisant WBTC, LINK et SNX, tous contre des jetons Statera.

Voir aussi : Un pirate informatique exploite une faille dans la plateforme d'échange décentralisée de Bitcoin Bisq pour voler 250 000 $

L'identité du pirate informatique reste un mystère, mais les analystes de 1INCH exchange, un agrégateur d'échanges décentralisés, ont déclaré que le pirate avait bien couvert ses traces : l'éther utilisé pour payer les frais de transaction et déployer des contrats intelligents a été blanchi via Tornado Cash, un service de mixage basé sur Ethereum.

« La personne derrière cette attaque était un ingénieur en contrats intelligents très sophistiqué avec une connaissance et une compréhension approfondies des principaux protocoles DeFi », a déclaré 1INCH dans son communiqué. article de blogsur la brèche.

De son côté, l'équipe derrière Statera a rejeté les accusations selon lesquelles le protocole avait échoué ou avait été conçu intentionnellement pour que ce type d'attaque ait lieu.

« Nous regrettons profondément, nous excusons et présentons sincèrement nos condoléances à toutes les victimes de cette attaque », a déclaré Statera dans un communiqué.annonce officielle.

Le projet a ajouté qu'il n'était pas en mesure de rembourser les victimes de l'attaquant.

Voir aussi : Le projet DeFi bZx est exploité pour la deuxième fois en une semaine et perd 630 000 $ en Ether.

Balancer Pool va désormais mettre sur liste noire tous les jetons de frais de transfert, y compris Statera, a déclaré McDonald. Outre un nouvel audit, McDonald a indiqué que l'équipe mènerait des recherches plus approfondies sur les circonstances du piratage et sur l'existence de vulnérabilités similaires avec d'autres jetons répertoriés.

L'attaque n'aurait pas pu arriver à un pire moment pour Balancer, qui ne a publié son propre jeton de gouvernance «BAL» la semaine dernière.

Au moment de mettre sous presse,Données CoinGecko montre que les jetons BAL se négocient à 11 $, en baisse d'environ 5 % au cours des dernières 24 heures.