Популярная децентрализованная биржа Balancer подверглась взлому 27 августа, потеряв почти 1 млн. долл.
Эксплойт был обнаружен менее чем через неделю после того, как команда раскрыла «критическую уязвимость». 22 августа команда Balancer попросила поставщиков ликвидности (LP) на бирже вывести средства из некоторых пулов, которые были подвержены уязвимости.
Сегодня утром команда Balancer признала факт взлома, заявив, что «знает об эксплойте, связанном с уязвимостью».
Меир Долев, основатель и технический директор компании Cyvers, специализирующейся на криптозащите, определил Ethereum-адрес хакера, на который с воскресенья поступило три перевода стабильных монеток DAI на общую сумму около 979 420 долл.
Злоумышленник продолжает свою операцию, пострадало около $900 тыс., более $600 тыс. переведено на этот адрес
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2— Meir Dolev (@Meir_Dv)August 27, 2023
Последний перевод был сделан примерно в 18:30 воскресенья по восточному времени, через несколько часов после публикации твита балансировщика об эксплойте. Долев добавил, что «злоумышленник продолжает свою операцию».
Компания Beosin, занимающаяся вопросами безопасности блокчейна, сообщила в твиттере, что эксплойт был осуществлен с помощью «нескольких атак на флэш-кредиты».
При атаке с использованием флэш-кредитов злоумышленник берет в долг у платформы DeFi большое количество криптовалюты, использует эти средства для манипулирования затронутыми пулами и выкачивания из них средств, а затем возвращает кредит в той же транзакции.
Команда Balancer не сразу ответила на просьбу TCN о комментарии.
Балансировщики рискуют
25 августа команда Balancer заявила, что только «0,08% от общего объема TVL (565 199 долл. США)» все еще находится в зоне риска, поскольку большинство LP вышли из затронутых пулов
UPDATE
Более 99,7% ликвидности, первоначально считавшейся уязвимой, в настоящее время безопасна.
Уязвимость не была использована, и средства не были потеряны.
Однако 0,08% от общего объема TVL (565 199 долл. США) остается под угрозой, и пользователям рекомендуется как можно скорее вывести средства с помощью пользовательского интерфейса.https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
— Balancer (@Balancer) August 25, 2023
Однако хакеры похитили более 900 000 долларов США — сумму, превышающую указанную командой.
Аналитики компании BlockSec, специализирующейся на безопасности блокчейна, сообщили TCN, что «мы проверили атакованные пулы и обнаружили, что они входят в список», упомянутый командой Balancer на прошлой неделе.
Компания Balancer заявила, что уязвимость затронула только пулы boosted на восьми блокчейнах. Boosted-пулы — это тип пулов ликвидности, которые увеличивают доходность для поставщиков ликвидности, предоставляя часть ликвидности в кредит другим приложениям, таким как Aave.
Специалисты BlockSec добавили, что разница в оценках токенов может возникать из-за «различий в расчете стоимости токенов — особенно это касается токенов с низкой ликвидностью».
Аналитики Beosin также сообщили TCN, что, хотя взломанная сумма превысила указанную командой сумму, эксплойт произошел в пулах boosted, указанных командой.
Команда Balancer неоднократно упоминала, что вывод средств является единственным способом их защиты. Более того, они также заблокировали доступ к пулам, позволяя снимать средства через специальный пользовательский интерфейс.
Однако злоумышленники не прекращают попыток похитить средства, а поставщики ликвидности затягивают с выводом средств.
