Populární decentralizovaná burza Balancer utrpěla 27. srpna hackerský útok a přišla o téměř 1 milion dolarů.
Ke zneužití došlo necelý týden poté, co tým odhalil „kritickou zranitelnost“. Dne 22. srpna tým Balanceru požádal poskytovatele likvidity (LP) na burze, aby stáhli prostředky z některých poolů, které byly vystaveny zranitelnosti.
Tým Balancer dnes ráno hackerský útok přiznal a uvedl, že si je „vědom zneužití souvisejícího s touto zranitelností“.
Meir Dolev, zakladatel a technický ředitel společnosti Cyvers, která se zabývá kryptobezpečností, identifikoval adresu hackera na platformě Ethereum, na kterou byly od neděle provedeny tři převody stablecoinů DAI v celkové hodnotě přibližně 979 420 USD.
Útočník pokračuje ve své operaci, zasaženo cca 900 tisíc dolarů, na tuto adresu bylo převedeno více než 600 tisíc dolarů.
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) 27. srpna 2023
Poslední převod byl proveden v neděli kolem 18:30 SELČ, tedy několik hodin poté, co vyšel Balancerův tweet o exploitu. Dolev dodal, že „útočník pokračuje ve své operaci“.
Blockchainová bezpečnostní firma Beosin na Twitteru uvedla, že exploit byl proveden prostřednictvím „několika útoků na flash půjčky“.
Při útoku typu flash loan si útočník vypůjčí velké množství kryptoměn z platformy DeFi, použije tyto prostředky k manipulaci s postiženými pooly a odčerpá z nich finanční prostředky a poté půjčku splatí ve stejné transakci.
Tým Balancer na žádost TCN o komentář okamžitě nereagoval.
Balancer má mnohá rizika
Dne 25. srpna tým společnosti Balancer uvedl, že v ohrožení je stále pouze „0,08 % celkového objemu TVL (565 199 USD)“, protože většina LP z dotčených fondů odstoupila.
UPDATE
Více než 99,7 % likvidity původně považované za ohroženou je nyní v bezpečí.
Zranitelnost nebyla zneužita a nedošlo ke ztrátě finančních prostředků.
V ohrožení však zůstává 0,08 % celkového objemu TVL (565 199 USD), přičemž uživatelům se doporučuje, aby co nejdříve provedli výběr pomocí uživatelského rozhraní. https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) 25. srpna 2023
Hackeři však ukradli přes 900 000 dolarů, což je částka vyšší, než jakou uvedl tým.
Analytici z blockchainové bezpečnostní firmy BlockSec sdělili TCN, že „jsme zkontrolovali napadené pooly a zjistili jsme, že jsou na seznamu“, který minulý týden zmínil tým Balancer.
Balancer zmínil, že zranitelností byly postiženy pouze posílené pooly v osmi blockchainech. Boosted pools jsou typem likviditních poolů, které zesilují výnosy pro poskytovatele likvidity tím, že půjčují část likvidity v jiných aplikacích, jako je Aave.
Slídilové z BlockSec dodali, že rozdíly v ocenění tokenů mohou vznikat z „rozdílů mezi výpočtem hodnoty tokenu – zejména u tokenů s malou likviditou“.
Analytici Beosin také TCN řekli, že zatímco hacknutá částka přesáhla částku zmíněnou týmem, k exploitu došlo v posílených poolech zmíněných týmem.
Tým Balancer opakovaně zmínil, že stažení je jediným způsobem ochrany prostředků. Kromě toho také uzamkli přístup k bazénům umožňujícím výběry prostřednictvím speciálního uživatelského rozhraní.
Útočníci však ve svém úsilí o krádež prostředků neustávají, zatímco poskytovatelé likvidity s výběrem prostředků otálejí.