Saltar al contenido

El balanceador de protocolo de DeFi en aumento pierde $ 500,000 a manos de un pirata informático en una explotación de grupo (actualizado)

El balanceador de protocolo de DeFi en aumento pierde $ 500,000 a manos de un pirata informático en una explotación de grupo (actualizado)

El ecosistema de las finanzas descentralizadas (DeFi) ha vuelto a ser atacado cuando un intercambio de creadores de mercado automatizado descentralizado sufrió pérdidas cercanas a medio millón de dólares ayer.

Balanceador perdió $ 500k en vulnerabilidad de grupo

El proyecto DeFi Balancer ha perdido alrededor de $ 500,000 en múltiples tokens a manos de un hacker debido a una vulnerabilidad en dos de los grupos de Balancer. Las noticias sobre el ataque surgieron en las redes sociales el domingo por la noche, pero Balancer no emitió un informe oficial hasta esta mañana.

Según el informe, el atacante solo robó fondos de dos grupos que contenían STA y STONK, conocidos como «tokens deflacionarios» o «tarifas de transferencia». Balancer afirma que la vulnerabilidad solo afecta a los grupos «donde un token tiene estas tarifas de transferencia».

Un patrón similar

El perpetrador adoptó un método de explotación similar utilizado en otros protocolos DeFi en el pasado. Usó Tornado Cash para obtener los fondos iniciales que usó para implementar contratos inteligentes y realizar el ataque. De esta manera, pudo ocultar la fuente de su ETH, explicó DEX Aggregator 1inch.

Usando los contratos inteligentes, obtuvo un préstamo flash de 104K ETH (aproximadamente $ 23.2 millones) del protocolo de préstamos descentralizados dYdX y lo convirtió a WETH, una moneda estable vinculada a Ether. Después de eso, comenzó a comercializar WETH y STA continuamente en cantidades crecientes.

Como se informó, STA tiene una tarifa de transferencia en cada operación, y el grupo espera que reciba un saldo sin la tarifa. Balancer explicó además que «después de suficientes llamadas, el atacante llama a gulp () que sincroniza la contabilidad del grupo interno de un saldo de tokens con el saldo real almacenado en el contrato del rastreador de tokens».

Dado que el saldo de STA es casi nulo, su valor en relación con otros tokens es extremadamente alto. Esto permitió al pirata informático drenar fondos al intercambiar STA por otras criptomonedas en el grupo, incluidas ETH, WBTC, LINK y SNX.

Después de completar su misión, el atacante pagó rápidamente el préstamo flash de 104.000 dólares a dYdX y los fondos robados se transfirieron a direcciones desconocidas.

¿La culpa del equilibrador?

En su actualización, Balancer afirmó que no tiene conocimiento de que este tipo de ataque sea posible. Sin embargo, un usuario de Twitter argumentó que el pirata informático pudo explotar la vulnerabilidad porque Balancer Labs se negó a reconocer el informe detallado del vector de ataque, que envió al proyecto durante su programa de recompensas por errores en mayo.

En respuesta al tweet, Mike McDonald, cofundador y CTO de Balancer, dijo que el informe de error presentado cubría problemas que ya conocían, por lo que advirtieron sobre los efectos no deseados de los tokens ERC20 con tarifas de transferencia que podrían tener en la red.

Cuarto proyecto de DeFi más grande

A pesar del ataque, Balancer es ahora el cuarto proyecto de DeFi más grande en Ethereum con más de $ 116 millones en ETH bloqueado en el protocolo, que es casi un 100% de aumento en una semana.

Balancer lanzó su token de gobernanza BAL el 23 de junio. Tras el lanzamiento, el precio de BAL registró un crecimiento de más del 200%, pasando de $ 6,65 a $ 22,28 en un día.

Actualizar:

El equipo detrás de Balancer ha decidido reembolsar a los proveedores de liquidez que perdieron fondos.

¿Disfruta leyendo? Por favor comparte: