Хакер викачує $500 тис. із DeFi Liquidity Provider Balancer

«Ми не знали, що такий тип атаки можливий».

Постачальник ліквідності децентралізованого Фінанси (DeFi) Balancer Pool рано вранці в понеділок визнав, що став жертвою складного злому, який використав лазівку, обманом змусивши протокол випустити токени на 500 000 доларів.

В а публікація в блозітехнічний директор Balancer Майк Макдональд сказав, що зловмисник позичив токени WETH на суму 23 мільйони доларів, ефірутокен із підтримкою, придатний для торгівлі DeFi, у флеш-кредиті від DYDX. Потім вони торгували проти себе за допомогою Statera (STA), інвестиційного токена, який використовує модель комісії за переказ і спалює 1% від його вартості щоразу, коли ним торгують.

Зловмисник переходив між WETH і STA 24 рази, виснажуючи пул ліквідності STA, поки баланс не став майже нульовим. Оскільки Balancer вважав, що має таку саму кількість STA, він випустив WETH, який дорівнював початковому балансу, даючи зловмисникові більшу маржу за кожну завершену торгівлю.

Окрім WETH, зловмисник здійснив таку саму атаку за допомогою WBTC, LINK і SNX, усі проти токенів Statera.

Дивіться також: Хакер використовує недолік у децентралізованій біржі Bitcoin Bisq, щоб вкрасти 250 тисяч доларів

Особа хакера залишається таємницею, але аналітики 1INCH exchange, децентралізованого агрегатора обміну, заявили, що хакер добре замістив свої сліди: ефір, який використовувався для оплати комісії за транзакції та розгортання смарт-контрактів, відмивався через Tornado Cash, службу змішування на основі Ethereum.

«Людина, яка стояла за цією атакою, була [] дуже досвідченим інженером смарт-контрактів з великими знаннями та розумінням провідних протоколів DeFi», — сказав 1INCH у своєму публікація в блозі на порушення.

Зі свого боку, команда Statera відкинула звинувачення в тому, що протокол або не вдався, або був навмисно розроблений для такого роду атак.

"Ми глибоко шкодуємо, приносимо вибачення і висловлюємо наші співчуття всім жертвам цього нападу", - сказав Статера в заяві. офіційне оголошення.

Проект додав, що він не в змозі повернути кошти жертвам нападника.

Дивіться також: Проект DeFi bZx експлуатується вдруге за тиждень, втрачає 630 тисяч доларів в ефірі

Balancer Pool тепер почне вносити в чорний список усі токени комісії за переказ, включаючи Statera, сказав Макдональд. Окрім іншого аудиту, Макдональд сказав, що команда проведе додаткові дослідження, щоб дізнатися, як стався злом і чи існують подібні вразливості в інших перерахованих токенах.

Атака не могла відбутися в гірший час для Balancer випустила власний маркер управління «BAL». минулого тижня.

Під час преси, Дані CoinGecko показує, що токени BAL торгуються на позначці 11 доларів США, знизившись приблизно на 5% за останні 24 години.