El proveedor descentralizado de liquidez financiera (DeFi), Balancer Pool, admitió haber sido víctima de un hack sofisticado que explotó una objeción en el procedimiento para engañar el protocolo y retirar tokens por $ 500.000. "No sabíamos que este tipo específico de ataque era posible", dijo.
El complejo procedimiento de robo
El CTO de Balancer, Mike McDonald, dijo en una publicación que el hacker había tomado prestados $ 23 millones en tokens WETH, un token con soporte de ether adecuado para el comercio de DeFi, en un préstamo flash de dYdX.
Luego lo cambió por Statera (STA), un token de inversión que utiliza un modelo de tarifa de transferencia por el cual se pierde el 1% de su valor cada vez que se comercializa.
El atacante realizó el intercambio entre WETH y STA 24 veces, vaciando el grupo de liquidez de STA hasta que el saldo fue casi cero. Como Balancer pensó que tenía la misma cantidad de STA, lanzó WETH en cantidades equivalentes al saldo original, lo que le dio al pirata informático un margen mayor para cada transacción completada. Además de WETH, realizó el mismo ataque usando WBTC, LINK y SNX, todos intercambiados por tokens Statera.
El pirata informático sería "un ingeniero de contrato inteligente muy sofisticado" según 1 pulgada
La identidad del hacker sigue siendo un misterio, pero los analistas del intercambio 1Inch, un agregador de intercambio descentralizado que no sea Bitcoin System, dijo que el pirata informático cubrió bien sus pistas: el éter solía pagar tarifas de transacción y distribuir contratos inteligentes fue reciclado a través de Tornado Cash, un servicio de mezcla basado en Ethereum.
"La persona detrás de este ataque es un ingeniero de contrato inteligente muy sofisticado con un vasto conocimiento y comprensión de los principales protocolos de DeFi", dijo 1 pulgada en su publicación en la que habla sobre el robo.
Por su parte, el equipo detrás de Statera desestimó las acusaciones de que el protocolo era falaz o diseñado intencionalmente para este tipo de ataque. "Lo sentimos profundamente y nos disculpamos sinceramente con todas las víctimas de este ataque", dijo Statera en un anuncio oficial.
El proyecto agregó que no puede reembolsar a las víctimas afectadas por el hacker. Balancer Pool ahora comenzará a incluir en la lista negra todos los tokens de tarifas de transferencia, incluido Statera, dijo McDonald. En otra auditoría, McDonald dijo que el equipo investigará más sobre cómo ocurrió el pirateo y si existen vulnerabilidades similares con otros tokens enumerados.
El ataque no pudo haber llegado en peor momento para Balancer, quien lanzó su ficha de gobierno "BAL" la semana pasada. Hasta el momento de la publicación, los datos de CoinGecko muestran que los tokens BAL se negocian en el nivel de $ 11, un 5% menos en las últimas 24 horas.
