Популярната децентрализирана борса Balancer претърпя хакерска атака на 27 август, като загуби близо 1 млн. долара.
Експлойтът се появи по-малко от седмица, след като екипът разкри „критична уязвимост“. На 22 август екипът на Balancer поиска от доставчиците на ликвидност (LP) на борсата да изтеглят средства от определени пулове, които са били изложени на уязвимостта.
Екипът на Balancer призна за хакерската атака тази сутрин, като заяви, че е „наясно с експлойт, свързан с уязвимост“.
Меир Долев, основател и главен технически директор на фирмата за криптосигурност Cyvers, идентифицира адреса на хакера в Ethereum, който от неделя насам е получил три превода на стабилни монети DAI на обща стойност приблизително 979 420 USD.
Атакуващият продължава с операцията си, засегнати са около 900 хил. долара, повече от 600 хил. долара са прехвърлени на този адрес
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) August 27, 2023
Последният трансфер е направен в около 18:30 ч. в неделя българско време, няколко часа след като е публикуван туитът на Balancer за експлойта. Долев добави, че „нападателят продължава с операцията си“.
Фирмата за сигурност на блокчейн Beosin съобщи в Туитър, че експлойтът е бил извършен чрез „множество атаки на флаш заеми“.
При атаката с флаш заем нападателят заема голямо количество криптовалута от платформата DeFi, използва тези средства, за да манипулира засегнатите пулове и да изтегля средства от тях, след което връща заема в същата транзакция.
Екипът на Balancer не е отговорил веднага на молбата на TCN за коментар.
Рисковете на Balancer са многобройни
На 25 август екипът на Balancer заяви, че само „0,08% от общия TVL (565 199 USD)“ все още е изложен на риск, тъй като повечето LP са се оттеглили от засегнатите пулове.
UPDATE
Над 99,7 % от първоначално считаната за уязвима ликвидност вече е в безопасност.
Уязвимостта не е била използвана и няма загубени средства.
Въпреки това 0,08% от общия брой TVL (565 199 долара) остават изложени на риск, като на потребителите се препоръчва да изтеглят средства възможно най-скоро, като използват потребителския интерфейс.https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) August 25, 2023
Хакерите обаче са откраднали над 900 000 долара – сума, по-висока от посочената от екипа.
Анализатори от фирмата за блокчейн сигурност BlockSec заявиха пред TCN, че „проверихме атакуваните басейни и установихме, че те са в списъка“, споменат от екипа на Balancer миналата седмица.
Balancer беше споменал, че само подсилените басейни в осем блокчейна са били засегнати от уязвимостта. Boosted pools са вид пулове за ликвидност, които засилват доходността за доставчиците на ликвидност, като заемат част от ликвидността в други приложения като Aave.
Следователите на BlockSec добавиха, че разликите в оценките на токените могат да възникнат от „разликите между изчисленията на стойността на токените – особено при токените с малка ликвидност“.
Анализаторите на Beosin също така заявиха пред TCN, че макар хакнатата сума да надвишава сумата, посочена от екипа, експлойтът се е случил в подсилени пулове, посочени от екипа.
Екипът на Balancer многократно е споменавал, че изтеглянето е единственият начин за защита на средствата. Нещо повече, те също така блокираха достъпа до пуловете, позволяващи изтегляния чрез специален потребителски интерфейс.
Въпреки това нападателите са непрестанни в усилията си да откраднат средства, докато доставчиците на ликвидност се забавят с изтеглянето на средствата.