De populaire gedecentraliseerde beurs Balancer is op 27 augustus gehackt, waardoor bijna $1 miljoen verloren is gegaan.
De exploit kwam minder dan een week nadat het team een “kritieke kwetsbaarheid” onthulde. Op 22 augustus vroeg het Balancer-team de liquiditeitsverschaffers (LP’s) op de beurs om fondsen terug te trekken uit bepaalde pools die blootgesteld waren aan de kwetsbaarheid.
Het Balancer-team erkende de hack vanochtend en zei dat ze “op de hoogte zijn van een exploit die gerelateerd is aan de kwetsbaarheid”.
Meir Dolev, oprichter en CTO van cryptobeveiligingsbedrijf Cyvers, identificeerde het Ethereum-adres van de hacker, die drie overdrachten van DAI stablecoin ontving voor een totaalbedrag van ongeveer $ 979.420 sinds zondag.
De aanvaller gaat door met zijn operatie, ongeveer $900K aangetast, meer dan $600K verplaatst naar dit adres
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) Augustus 27, 2023
De laatste overdracht vond plaats rond 18.30 uur zondag ET, een paar uur nadat Balancer’s tweet over de exploit de wereld in ging. Dolev voegde eraan toe dat de “aanvaller doorgaat met zijn operatie”.
Blockchain beveiligingsbedrijf Beosin tweette dat de exploit werd uitgevoerd door middel van “meerdere flash loan aanvallen”.
Bij een flitsleningaanval leent een aanvaller een grote hoeveelheid cryptocurrency van een DeFi-platform, gebruikt deze fondsen om getroffen pools te manipuleren en fondsen ervan over te hevelen, en betaalt vervolgens de lening in dezelfde transactie terug.
Het Balancer-team heeft niet onmiddellijk gereageerd op TCN’s verzoek om commentaar.
Risico’s voor Balancers zijn er in overvloed
Op 25 augustus verklaarde het Balancer-team dat slechts “0,08% van de totale TVL ($565.199)” nog steeds risico liep omdat de meeste LP’s zich uit de getroffen pools hadden teruggetrokken.
UPDATE
Meer dan 99,7% van de aanvankelijk kwetsbaar geachte liquiditeit is nu veilig.
De kwetsbaarheid is niet uitgebuit en er zijn geen fondsen verloren gegaan.
0,08% van de totale TVL ($565.199) blijft echter in gevaar en gebruikers wordt geadviseerd ASAP op te nemen via de UI.https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) Augustus 25, 2023
De hackers hebben echter meer dan 900.000 dollar gestolen, een hoger bedrag dan het bedrag dat door het team werd genoemd.
Analisten van blockchain beveiligingsbedrijf BlockSec vertelden TCN dat “we de aangevallen pools hebben gecontroleerd en hebben vastgesteld dat deze in de lijst staan” die het Balancer team vorige week noemde.
Balancer had gezegd dat alleen boosted pools op acht blockchains getroffen waren door de kwetsbaarheid. Boosted pools zijn een soort liquiditeitspools die de opbrengsten voor liquiditeitsaanbieders versterken door een deel van de liquiditeit uit te lenen in andere apps zoals Aave.
BlockSec speurneuzen voegden eraan toe dat verschillen in tokenwaarderingen kunnen ontstaan door “de verschillen tussen de berekening van de tokenwaarde – vooral bij de tokens met weinig liquiditeit.”
Analisten van Beosin vertelden TCN ook dat het gehackte bedrag weliswaar hoger was dan het door het team genoemde bedrag, maar dat de exploit plaatsvond in door het team genoemde boosted pools.
Het Balancer-team heeft herhaaldelijk aangegeven dat terugtrekken de enige manier is om de fondsen te beschermen. Bovendien hebben ze ook de toegang tot de pools vergrendeld, zodat geld kan worden opgenomen via een speciale gebruikersinterface.
De aanvallers zijn echter meedogenloos in hun pogingen om fondsen te stelen, terwijl de liquiditeitsaanbieders vertragen met het opnemen van fondsen.
