Der dezentrale Finanzliquiditätsanbieter (DeFi) Balancer Pool gab zu, kürzlich Opfer eines ausgeklügelten Hacks geworden zu sein, bei dem ein Streitpunkt ausgenutzt wurde, um das Protokoll auszutricksen und Token für 500.000 US-Dollar abzuheben. "Wir wussten nicht, dass diese spezielle Art von Angriff möglich ist", sagte er.
Das komplexe Diebstahlverfahren
Mike McDonald, CTO von Balancer, sagte in einem Post, der Hacker habe WETH-Token im Wert von 23 Millionen US-Dollar, ein für den DeFi-Handel geeignetes äthergestütztes Token, in einem Flash-Darlehen von dYdX ausgeliehen.
Anschließend tauschte er es gegen Statera (STA), ein Investment-Token, das ein Transfergebührenmodell verwendet, bei dem bei jedem Handel 1% seines Wertes verloren geht.
Der Angreifer führte den Austausch zwischen WETH und STA 24 Mal durch und leerte den STA-Liquiditätspool, bis der Saldo fast Null war. Da Balancer glaubte, die gleiche Menge an STA zu haben, gab er WETH in Mengen frei, die dem ursprünglichen Saldo entsprachen, wodurch der Hacker für jede abgeschlossene Transaktion eine größere Marge erhielt. Zusätzlich zu WETH führte er denselben Angriff mit WBTC, LINK und SNX durch, die alle gegen Statera-Token eingetauscht wurden.
Der Hacker wäre laut 1inch "ein sehr hoch entwickelter intelligenter Vertragsingenieur"
Die Identität des Hackers bleibt ein Rätsel, aber Analysten der Börse 1Inch, ein anderer dezentraler Börsenaggregator als Bitcoin System, sagte der Hacker, der ihre Spuren gut verwischt hat: Der Äther, der zur Zahlung von Transaktionsgebühren und zur Verteilung intelligenter Verträge verwendet wurde, wurde über Tornado Cash, einen auf Ethereum basierenden Mixer-Service, recycelt.
"Die Person hinter diesem Angriff ist ein sehr hoch entwickelter intelligenter Vertragsingenieur mit umfassendem Wissen und Verständnis der wichtigsten DeFi-Protokolle", sagte 1 Zoll in seinem Beitrag, in dem er über den Diebstahl berichtet.
Das Team hinter Statera wies die Anschuldigungen zurück, dass das Protokoll trügerisch oder absichtlich für diese Art von Angriff ausgelegt sei. "Es tut uns sehr leid und wir entschuldigen uns aufrichtig bei allen Opfern dieses Angriffs", sagte Statera in einer offiziellen Ankündigung.
Das Projekt fügte hinzu, dass es nicht in der Lage sei, die vom Hacker betroffenen Opfer zu erstatten. Balancer Pool wird nun damit beginnen, alle Transfergebühren-Token, einschließlich Statera, auf die schwarze Liste zu setzen, sagte McDonald. In einem anderen Audit sagte McDonald, das Team werde weitere Untersuchungen darüber durchführen, wie das Hacken stattgefunden hat und ob ähnliche Sicherheitslücken bei anderen aufgelisteten Token bestehen.
Der Angriff hätte für Balancer, der letzte Woche seinen "BAL" -Governance-Token veröffentlicht hatte, nicht zu einem schlechteren Zeitpunkt kommen können. Zum Zeitpunkt der Drucklegung zeigen CoinGecko-Daten, dass BAL-Token auf dem Niveau von 11 USD gehandelt werden, was einem Rückgang von etwa 5% in den letzten 24 Stunden entspricht.