Проект Balancer – это протокол управления денежными средствами, не связанный с хранением, поставщик ликвидности и датчик цен, и его сильной стороной является пул балансировщика — AMM (Automated Market Maker), который позволяет управлять портфелем, пулом и ценой токена.
Balancer Pool позволяет получать комиссионные от тех, кто входит в один и тот же пул, используя возможности арбитража. Протокол был запущен в сети на прошлой неделе.
Исходя из официального заявления, атака была осуществлена против 2 пулов, которые содержали 2 разных токена — Statera (STA) и Stonk.
В настоящий момент оба пулы опустошены, потери составили более полумиллиона долларов.
Взлом был выполнен с использованием нестандартной схемы – прежде чем приступить к атаке, хакерами был использован протокол Tornado Cash для того чтобы было невозможно отследить, откуда поступили средства.
История взлома
ETH одалживается из dYdX и конвертируется в WETH. Постоянно торгуются WET и STA в увеличивающихся объемах. По каждой сделке STA имеет комиссию за перевод, и пул в этот момент ожидает, что будет получен баланс без комиссии.
После достаточного количества вызовов злоумышленник вызывает команду gulp (), который синхронизирует внутренний учет пулов баланса токенов с фактическим балансом, сохраненным в трекере контракта токенов. Поскольку баланс STA близок к нулю, его цена относительно других токенов значительно возрастает, и в этот момент злоумышленник использует STA для обмена на другие активы в пуле крайне дешево. Balancer заявил, что команда проекта предполагала, что эти типы токенов могут создать проблемы, и фактически они не были включены в недавний пул майнинга BAL. В итоге, Balancer решил добавить адреса, связанные с взломом, в черный список и предоставить пользователям исчерпывающую информацию о возможных рисках, которые могут быть связаны с этими токенами. Кроме того, команда наметила провести аудит всего протокола.
На ком лежит вина за взлом протокол DeFi от Balancer?
По мнению нескольких пользователей, прокомментировавших эту новость, виновата во взломе команда Balancer, потому что ошибка явно игнорировалась, а речи о компенсации потерь никто не ведет, несмотря на то что в программе bounty обнаружились ошибки.
Наличие такой претензии со стороны пользователей было подтверждено соучредителем Balancer и техническим директором Майком Макдональдом, который в свою очередь оправдался, заявив, что срочные кредиты еще не были доступны на платформе.
Как бы там ни было и сколь бы инновационными не являлись децентрализованные финансы (DeFi), они вновь подверглись атаке, которая привела к огромной потере средств.
