Popularna zdecentralizowana giełda Balancer padła ofiarą włamania w dniu 27 sierpnia, tracąc blisko 1 milion dolarów.
Exploit pojawił się niecały tydzień po tym, jak zespół ujawnił „krytyczną lukę w zabezpieczeniach”. 22 sierpnia zespół Balancer poprosił dostawców płynności (LP) na giełdzie o wycofanie środków z niektórych pul, które były narażone na lukę w zabezpieczeniach.
Zespół Balancer potwierdził włamanie dziś rano, mówiąc, że „jest świadomy exploita związanego z luką w zabezpieczeniach”.
Meir Dolev, założyciel i CTO firmy Cyvers zajmującej się bezpieczeństwem kryptowalut, zidentyfikował adres Ethereum hakera, który od niedzieli otrzymał trzy przelewy stablecoinów DAI o łącznej wartości około 979 420 USD.
Atakujący kontynuuje swoją operację, dotknięte około 900K $, ponad 600K $ przeniesione na ten adres
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) August 27, 2023
Ostatni transfer został wykonany około godziny 18:30 w niedzielę ET, kilka godzin po opublikowaniu tweeta Balancera o exploicie. Dolev dodał, że „atakujący kontynuuje swoją operację”.
Firma Beosin, zajmująca się bezpieczeństwem blockchain, napisała na Twitterze, że exploit został przeprowadzony poprzez „wiele ataków typu flash loan”.
W ataku typu flash loan atakujący pożycza dużą ilość kryptowaluty z platformy DeFi, wykorzystuje te fundusze do manipulowania dotkniętymi pulami i wysysania z nich środków, a następnie spłaca pożyczkę w tej samej transakcji.
Zespół Balancer nie odpowiedział od razu na prośbę TCN o komentarz.
Balancer ryzykuje
W dniu 25 sierpnia zespół Balancer stwierdził, że tylko „0,08% całkowitego TVL (565 199 USD)” jest nadal zagrożone, ponieważ większość LP wycofała się z dotkniętych puli.
UPDATE
Ponad 99,7% płynności początkowo uznanej za podatną na ataki jest teraz BEZPIECZNE.
Luka nie została wykorzystana i nie utracono żadnych środków.
Jednak 0,08% całkowitej TVL (565 199 USD) pozostaje zagrożone, a użytkownikom zaleca się jak najszybsze wycofanie środków za pomocą interfejsu użytkownika.https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) August 25, 2023
Hakerzy ukradli jednak ponad 900 000 USD, czyli kwotę wyższą niż ta wspomniana przez zespół.
Analitycy z firmy BlockSec zajmującej się bezpieczeństwem blockchain powiedzieli TCN, że „sprawdziliśmy zaatakowane pule i stwierdziliśmy, że znajdują się one na liście” wspomnianej przez zespół Balancer w zeszłym tygodniu.
Balancer wspomniał, że luka dotyczyła tylko wzmocnionych pul w ośmiu łańcuchach bloków. Boosted pools to rodzaj pul płynności, które zwiększają zyski dla dostawców płynności poprzez pożyczanie części płynności w innych aplikacjach, takich jak Aave.
Analitycy BlockSec dodali, że różnice w wycenach tokenów mogą wynikać z „różnic między obliczeniami wartości tokenów – zwłaszcza w przypadku tokenów o niskiej płynności”.
Analitycy Beosin powiedzieli również TCN, że chociaż zhakowana kwota przekroczyła kwotę wymienioną przez zespół, exploit miał miejsce w zwiększonych pulach wymienionych przez zespół.
Zespół Balancer wielokrotnie wspominał, że wycofanie środków jest jedynym sposobem na ich ochronę. Co więcej, zablokowali również dostęp do pul umożliwiających wypłaty za pośrednictwem dedykowanego interfejsu użytkownika.
Atakujący są jednak nieustępliwi w swoich wysiłkach zmierzających do kradzieży środków, podczas gdy dostawcy płynności opóźniają ich wypłatę.
