Il 27 agosto il popolare exchange decentralizzato Balancer è stato violato, perdendo quasi 1 milione di dollari.
L’exploit è arrivato meno di una settimana dopo che il team aveva rivelato una “vulnerabilità critica”. Il 22 agosto, il team di Balancer ha chiesto ai fornitori di liquidità (LP) della borsa di ritirare i fondi da alcuni pool esposti alla vulnerabilità.
Il team di Balancer ha riconosciuto l’hack questa mattina, affermando di essere “a conoscenza di un exploit legato alla vulnerabilità”.
Meir Dolev, fondatore e CTO della società di sicurezza crittografica Cyvers, ha identificato l’indirizzo Ethereum dell’hacker, che ha ricevuto tre trasferimenti di stablecoin DAI per un totale di circa 979.420 dollari da domenica.
L’aggressore continua con la sua operazione, circa 900.000 dollari colpiti, più di 600.000 dollari spostati a questo indirizzo
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) 27agosto2023
L’ultimo trasferimento è stato effettuato intorno alle 18:30 di domenica, poche ore dopo la pubblicazione del tweet di Balancer sull’exploit. Dolev ha aggiunto che “l’attaccante continua la sua operazione”.
L’azienda di sicurezza Blockchain Beosin ha twittato che l’exploit è stato portato a termine attraverso “molteplici attacchi flash loan”.
In un attacco di tipo flash loan, un aggressore prende in prestito una grande quantità di criptovaluta da una piattaforma DeFi, utilizza questi fondi per manipolare i pool interessati e sottrarne i fondi, per poi ripagare il prestito nella stessa transazione.
Il team di Balancer non ha risposto immediatamente alla richiesta di commento di TCN.
I rischi di Balancer abbondano
Il 25 agosto, il team di Balancer ha dichiarato che solo “lo 0,08% del TVL totale (565.199 dollari)” era ancora a rischio, poiché la maggior parte degli LP si era ritirata dai pool interessati.
UPDATE
Oltre il 99,7% della liquidità inizialmente ritenuta vulnerabile è ora SICURA.
La vulnerabilità non è stata sfruttata e nessun fondo è andato perso.
Tuttavia, lo 0,08% della TVL totale ($565.199) rimane a rischio, e gli utenti sono invitati a prelevare il prima possibile utilizzando l’interfaccia utente.https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) August 25, 2023
Gli hacker hanno tuttavia rubato oltre 900.000 dollari, un importo superiore a quello menzionato dal team.
Gli analisti della società di sicurezza blockchain BlockSec hanno dichiarato a TCN che “abbiamo controllato le piscine attaccate e abbiamo scoperto che rientrano nell’elenco” citato dal team di Balancer la scorsa settimana.
Balancer aveva dichiarato che solo i pool potenziati su otto blockchain erano stati colpiti dalla vulnerabilità. I pool potenziati sono un tipo di pool di liquidità che amplificano i rendimenti per i fornitori di liquidità prestando una parte della liquidità in altre applicazioni come Aave.
Gli investigatori di BlockSec hanno aggiunto che le differenze nelle valutazioni dei token possono derivare dalle “differenze tra i calcoli del valore dei token, specialmente per i token con poca liquidità”.
Gli analisti di Beosin hanno anche detto a TCN che, mentre l’importo violato ha superato l’importo menzionato dal team, l’exploit è avvenuto nei pool potenziati menzionati dal team.
Il team di Balancer ha ripetutamente affermato che il ritiro è l’unico modo per proteggere i fondi. Inoltre, ha bloccato l’accesso alle piscine consentendo i prelievi attraverso un’interfaccia utente dedicata.
Tuttavia, gli aggressori sono implacabili nei loro sforzi per rubare i fondi, mentre i fornitori di liquidità tardano a ritirarli.