Dos grupos de tokens múltiples en Balancer, un protocolo automatizado de creación de mercado, fueron drenados de ~ $ 450,000 el 29 de junio por un atacante que apuntó específicamente a los grupos que contienen los llamados tokens deflacionarios.
El hacker realizó el ataque en dos transacciones separadas: una tuvo lugar a las 6:03 pm y la la segunda 30 minutos más tarde 06:49 pm . Solo los grupos con STA y STONK, tokens deflacionarios con tarifas de transferencia, se vieron afectados por esta vulnerabilidad.
El atacante obtuvo un préstamo flash de $ 23 millones de ETH de dYdX, lo convirtió a WETH y comenzó a intercambiar WETH a STA de ida y vuelta, lo repitieron 24 veces. Esto les permitió drenar el saldo de STA en el grupo hasta 0.000000000000000001 STA ya que se restaba una tarifa de transacción del 1% en cada operación. El saldo de STA fue cercano a cero, lo que permitió al atacante cambiarlo por otros activos en el grupo a un precio muy bajo.
El atacante agotó 601.3 ETH (~ $ 134.8k), 11.36 WBTC (~ $ 103.5k), 22,593 LINK (~ $ 102.8k) y 60,915 SNX (~ $ 110.9k). En total, el atacante tuvo acceso a alrededor de $ 452,000.
DEX Aggregator 1inch dijo en su escrito que el atacante era "ingeniero de contrato inteligente muy sofisticado con amplio conocimiento y comprensión de los principales protocolos de DeFi". El ETH que se utilizó para implementar los contratos inteligentes se mezcló con Tornado Cash para ocultar la fuente.
Balancer dijo que no sabían que este tipo específico de ataque era posible, pero supuestamente advirtió sobre los efectos no deseados de los tokens deflacionarios con tarifas de transferencia. Se comprometió a comenzar a agregar tokens deflacionarios a la lista negra de la interfaz de usuario de manera similar a lo que ya han hecho para no tokens de transferencia de bool. El protocolo agregó que ya se ha sometido a dos auditorías completas y ha planeado una tercera.
Este es el quinto ataque de alto perfil en los protocolos de Open Finance. Los primeros dos ocurrieron el 15 de febrero cuando los atacantes agotaron el protocolo de préstamo bZx de más de $ 1 millón. En abril, el protocolo dForce fue drenado de $ 25 millones pero el atacante devolvió el monto total por razones aún desconocidas.
© 2020 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.theblockcrypto.com/linked/69785/balancer-pools-drained-of-more-than-450000-due-to-an-exploit-connected-to-deflationary-tokens?utm_source=rss&utm_medium=rss