Хакер вывел $500 тыс. из Balancer поставщика ликвидности DeFi

«Мы не знали, что возможен именно этот тип атаки».

Поставщик ликвидности децентрализованного Финансы (DeFi) Balancer Pool рано утром в понедельник признал, что стал жертвой сложного взлома, использовавшего лазейку и заставившего протокол выпустить токены на сумму 500 000 долларов.

Взапись в блогеТехнический директор Balancer Майк Макдональд заявил, что злоумышленник занял токены WETH на сумму 23 миллиона долларов, эфир-поддерживаемый токен, подходящий для торговли DeFi, в виде мгновенного займа от DYDX. Затем они торговали против себя Statera (STA), инвестиционным токеном, который использует модель комиссии за перевод и сжигает 1% своей стоимости каждый раз, когда он торгуется.

Атакующий прошел между WETH и STA 24 раза, опустошив пул ликвидности STA, пока баланс не стал почти нулевым. Поскольку Balancer думал, что у него было то же количество STA, он выпустил WETH, что было равно первоначальному балансу, дав атакующему большую маржу за каждую завершенную сделку.

Помимо WETH, злоумышленник выполнил ту же атаку, используя WBTC, LINK и SNX, все против токенов Statera.

Смотрите также: Хакер воспользовался уязвимостью децентрализованной Bitcoin биржи Bisq, чтобы украсть 250 тыс. долларов

Личность хакера остается загадкой, но аналитики 1INCH exchange, децентрализованного агрегатора обмена, заявили, что хакер хорошо замел следы: эфир, используемый для оплаты комиссий за транзакции и развертывания смарт-контрактов, был отмыт через Tornado Cash, сервис-миксер на базе Ethereum.

«За этой атакой стоял очень опытный инженер по смарт-контрактам с обширными знаниями и пониманием ведущих протоколов DeFi», — говорится в сообщении 1INCH . запись в блогео нарушении.

Со своей стороны, команда Statera отмахнулась от обвинений в том, что протокол либо дал сбой, либо был специально разработан для осуществления атак такого рода.

«Мы глубоко сожалеем, приносим извинения и искренне выражаем соболезнования всем жертвам этого нападения», — говорится в заявлении Статеры.официальное заявление.

Проект добавил, что не в состоянии возместить ущерб жертвам нападавших.

Смотрите также: Проект DeFi bZx подвергся атаке второй раз за неделю, потеряв $630 тыс. в эфире

Balancer Pool теперь начнет вносить в черный список все токены с комиссией за перевод, включая Statera, сказал Макдональд. Помимо еще одного аудита, сказал Макдональд, команда проведет дополнительные исследования того, как произошел взлом, и существуют ли подобные уязвимости в других перечисленных токенах.

Нападение не могло произойти в худшее время для Balancer, который только выпустил собственный токен управления "BAL" на прошлой неделе.

На момент публикации,Данные CoinGecko показывает, что токены BAL торгуются на отметке в 11 долларов, упав примерно на 5% за последние 24 часа.