El popular intercambio descentralizado Balancer sufrió un hackeo el 27 de agosto, perdiendo cerca de 1 millón de dólares.
El exploit se produjo menos de una semana después de que el equipo revelara una «vulnerabilidad crítica.» El 22 de agosto, el equipo de Balancer pidió a los proveedores de liquidez (LP) de la bolsa que retiraran fondos de ciertos pools que estaban expuestos a la vulnerabilidad.
El equipo de Balancer reconoció el hackeo esta mañana, diciendo que son «conscientes de un exploit relacionado con la vulnerabilidad».
Meir Dolev, fundador y CTO de la firma de cripto seguridad Cyvers, identificó la dirección Ethereum del hacker, que recibió tres transferencias de stablecoin DAI por un total de aproximadamente $ 979,420 desde el domingo.
El atacante continúa con su operación, aproximadamente 900K$ afectados, más de 600K$ movidos a esta dirección.
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) 27 de agosto de 2023
La última transferencia se realizó en torno a las 18:30 horas del domingo ET, unas horas después de que se difundiera el tuit de Balancer sobre el exploit. Dolev añadió que el «atacante continúa con su operación».
Blockchain firma de seguridad Beosin tuiteó que el exploit se llevó a cabo a través de «múltiples ataques de préstamo flash.»
En un ataque de préstamo flash, un atacante toma prestada una gran cantidad de criptomoneda de una plataforma DeFi, utiliza esos fondos para manipular los fondos comunes afectados y desviar fondos de ellos, y luego devuelve el préstamo en la misma transacción.
El equipo de Balancer no respondió de inmediato a la solicitud de comentarios de TCN.
Los riesgos de Balancer abundan
El 25 de agosto, el equipo de Balancer declaró que sólo el «0,08% del total de TVL (565.199 dólares)» seguía en riesgo, ya que la mayoría de los LP se habían retirado de los fondos afectados.
UPDATE
Más del 99,7% de la liquidez inicialmente considerada vulnerable está ahora a salvo.
La vulnerabilidad no ha sido explotada y no se han perdido fondos.
Sin embargo, el 0,08% del total de TVL (565.199 dólares) sigue en riesgo, por lo que se recomienda a los usuarios que retiren sus fondos lo antes posible a través de la interfaz de usuario. https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) August 25, 2023
Sin embargo, los hackers han robado más de 900.000 dólares, una cantidad superior a la mencionada por el equipo.
Los analistas de la firma de seguridad blockchain BlockSec dijeron a TCN que «revisamos los pools atacados y encontramos que estos están en la lista» mencionada por el equipo de Balancer la semana pasada.
Balancer había mencionado que sólo los boosted pools de ocho blockchains estaban afectados por la vulnerabilidad. Los Boosted pools son un tipo de pools de liquidez que amplifican los rendimientos para los proveedores de liquidez prestando una parte de la liquidez en otras aplicaciones como Aave.
Los detectives de BlockSec añadieron que las diferencias en las valoraciones de los tokens pueden deberse a «las diferencias entre el cálculo del valor de los tokens, especialmente en el caso de los tokens con poca liquidez».
Los analistas de Beosin también dijeron a TCN que, si bien la cantidad hackeada superaba la cantidad mencionada por el equipo, el exploit se produjo en los pools boosted mencionados por el equipo.
El equipo de Balancer ha mencionado repetidamente que la retirada es la única forma de proteger los fondos. Además, también bloquearon el acceso a las quinielas permitiendo las retiradas a través de una interfaz de usuario específica.
Sin embargo, los atacantes no cejan en su empeño de robar fondos mientras los proveedores de liquidez tardan en retirarlos.