La bourse décentralisée Balancer a été victime d’un piratage le 27 août, perdant près d’un million de dollars.
L’exploit est survenu moins d’une semaine après que l’équipe a révélé une « vulnérabilité critique ». Le 22 août, l’équipe de Balancer a demandé aux fournisseurs de liquidités (LPs) de la bourse de retirer les fonds de certains pools exposés à la vulnérabilité.
L’équipe de Balancer a reconnu le piratage ce matin, déclarant qu’elle était « au courant d’un exploit lié à la vulnérabilité ».
Meir Dolev, fondateur et directeur technique de la société de sécurité cryptographique Cyvers, a identifié l’adresse Ethereum du pirate, qui a reçu trois transferts de stablecoins DAI totalisant environ 979 420 $ depuis dimanche.
Le pirate continue son opération, environ 900K$ affectés, plus de 600K$ déplacés vers cette adresse.
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) Le 27 août 2023
Le dernier transfert a été effectué vers 18h30 dimanche ET, quelques heures après la diffusion du tweet de Balancer sur l’exploit. Dolev a ajouté que « l’attaquant poursuit son opération ».
La société de sécurité de la blockchain Beosin a tweeté que l’exploit avait été réalisé par le biais de « multiples attaques par prêt flash ».
Dans une attaque par prêt éclair, un attaquant emprunte une grande quantité de crypto-monnaie à une plateforme DeFi, utilise ces fonds pour manipuler les pools affectés et en siphonner les fonds, puis rembourse le prêt dans la même transaction.
L’équipe de Balancer n’a pas immédiatement répondu à la demande de commentaire de TCN.
Les risques liés à Balancer sont nombreux
Le 25 août, l’équipe de Balancer a déclaré que seulement « 0,08 % du total des TVL (565 199 $) » était encore à risque, car la plupart des LPs s’étaient retirés des pools concernés
MISE À JOUR
Plus de 99,7 % des liquidités initialement jugées vulnérables sont désormais SÛRES.
La vulnérabilité n’a pas été exploitée et aucun fonds n’a été perdu.
Cependant, 0,08 % de la TVL totale (565 199 $) reste à risque, et il est conseillé aux utilisateurs de se retirer dès que possible en utilisant l’interface utilisateur.https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) Le 25 août 2023
Les pirates ont toutefois dérobé plus de 900 000 dollars, un montant supérieur à celui mentionné par l’équipe.
Les analystes de la société de sécurité blockchain BlockSec ont déclaré à TCN que « nous avons vérifié les pools attaqués et constaté qu’ils se trouvaient dans la liste » mentionnée par l’équipe de Balancer la semaine dernière.
Balancer avait indiqué que seuls les pools boostés de huit blockchains étaient affectés par la vulnérabilité. Les pools boostés sont un type de pools de liquidité qui amplifient les rendements pour les fournisseurs de liquidité en prêtant une partie de la liquidité dans d’autres applications telles que Aave.
Les limiers de BlockSec ont ajouté que les différences d’évaluation des jetons peuvent provenir des « différences entre les calculs de la valeur des jetons, en particulier pour les jetons peu liquides ».
Les analystes de Beosin ont également déclaré à TCN que si le montant piraté dépassait le montant mentionné par l’équipe, l’exploit s’est produit dans les pools boostés mentionnés par l’équipe.
L’équipe de Balancer a mentionné à plusieurs reprises que le retrait était le seul moyen de protéger les fonds. En outre, elle a également verrouillé l’accès aux pools permettant les retraits par le biais d’une interface utilisateur dédiée.
Cependant, les attaquants ne relâchent pas leurs efforts pour voler des fonds alors que les fournisseurs de liquidités tardent à les retirer.