fructify


  • Le protocole automatisé du market maker Balancer a perdu plus de 450 000 $ lors d’un incident de piratage dimanche.
  • Le cofondateur et directeur technique de l’entreprise, Mike McDonald, a confirmé que les pirates avaient vidé au moins deux de leurs pools qui contenaient des jetons déflationnistes STA et STONK.
  • Il a admis que les pirates informatiques exploitaient les failles de sécurité de ces jetons pour inciter leurs pools à les vendre Ether, WBTC, LINK et SNX à des tarifs moins élevés.

Deux pools sur Balancer, un protocole de market maker automatisé, ont perdu plus de 450 000 $ à la suite d’un incident de piratage qui a principalement attaqué des jetons déflationnistes.

Mike McDonald, co-fondateur et CTO de Balancer, a confirmé dimanche dans un article moyen que les pirates avaient lancé l’attaque en deux versements. Le premier a eu lieu à 0603 UTC, tandis que l’autre s’est produit environ 30 minutes plus tard à 0649 UTC.

Les deux attaques ont exploité STA et STONK, des jetons déflationnistes avec des frais de transfert de 1%.

Anatomie de l’attaque

Comme l’a souligné M. McDonald, les attaquants ont conçu un contrat intelligent spécial qui pourrait effectuer plusieurs actions en une seule transaction.

fructify

À la première étape, ils ont obtenu un prêt de 104 000 WETH auprès de la plateforme de prêt de crypto dYdX. Ensuite, ils ont échangé le montant des jetons STA d’avant en arrière 24 fois. Chaque transaction a drainé 1% du fonds STA du pool du Balancer.

Ainsi, à chaque transaction, Balancer recevait de moins en moins de jetons STA en tant que frais.

La piscine n’a pas détecté le drainage en raison de ses propres limites. L’agrégateur DEX 1 pouce a écrit dans son article Medium que Balancer n’enregistre pas le nombre de STA brûlés après une transaction. Il ne garde qu’un onglet sur le transfert de jetons.

Finalement, le solde STA du pool est tombé à 1 weiSTA, soit l’équivalent de 0,00000000000000000001 STA. Cela a conduit Balancer à rééquilibrer son pool en transférant automatiquement la valeur d’autres jetons, y compris Ether, WBTC, LINK et SNX, à STA.

Le rééquilibrage a rendu les autres jetons moins chers à l’achat. Les pirates ont exploité l’événement pour échanger leurs jetons STA contre d’autres, finissant par drainer 601,3 ETH (~ 135 000 $), 11,36 WBTC (~ 103,5 000 $), 22 593 LINK (~ 103 000 $) et 60 915 SNX (~ 111 000 $) du pool. Cela représentait près de 452 000 $.

M. McDonald a admis qu’ils n’étaient pas au courant de la nature de l’attaque, mais a précisé qu’ils avaient précédemment averti la communauté des vulnérabilités des jetons déflationnistes. Dans le même temps, il a confirmé des développements concrets pour atténuer ces risques.

«Nous allons commencer à ajouter des jetons de frais de transfert à la liste noire de l’interface utilisateur de la même manière que ce que nous avons fait pour les jetons de transfert sans bool», a écrit M. McDonald. “Notez que ces listes ne seront pas exhaustives et que de nouveaux jetons peuvent être ajoutés à Balancer à tout moment.”

Pas le premier exploit Crypto

Le piratage Balancer a marqué une cinquième attaque du genre contre les protocoles open source. Le plus grand casse a eu lieu en avril 2020 après que les pirates ont drainé 25 millions de dollars du protocole dForce. Néanmoins, les assaillants ont rendu les fonds pour des raisons inconnues.

En revanche, le protocole de prêt bZx a perdu plus d’un million de dollars en deux tentatives de piratage consécutives en février 2020.



fructify