Trusted

Balancer Pool straciło 500 tys. dolarów w ETH przez luki w bezpieczeństwie DeFi

4 mins
Aktualizacja Dawid Paluch
Dołącz do Naszej Społeczności na Telegramie

W SKRÓCIE

  • Luka w zabezpieczeniach DeFi przyniosła 500 000 $ straty w ETH w Balancer Pool.
  • Pożyczki błyskawiczne wykorzystano do wymiany tokenów na platformie.
  • Balancer mógł już wiedzieć o lukach w zabezpieczeniach.
  • promo

Zdecentralizowany system finansowy (DeFi) odnotował swój najlepszy jak dotąd tydzień w zeszłym tygodniu, ale ten szybki wzrost przyciąga też bardziej podejrzanych operatorów, którzy chcą wykorzystać luki w powstających systemach.
Rynki DeFi wciąż rosną od szalonego tygodnia, w którym całkowita wartość zablokowana (TVL) w branży osiągnęła rekordowy poziom 1,65 miliarda dolarów. Ten ruch został w dużej mierze katalizowany przez zachęty do dystrybucji żetonów, które zwiększają płynność przez Compound Finance i Balancer. Tą ostatnią firmą wstrząsnął atak w weekend, który rzekomo doprowadził do utraty pół miliona dolarów w Ethereum.

Balancer Pool celem oszustów

W niedzielę na krypto-twiterze pojawiły się doniesienia, że ​​Balancer Pool padł ofiarą najnowszej inwazji cyfrowej. Jednym z pierwszych, którzy zgłosili incydent, był badacz Steven Zheng, który napisał na Twitterze:
Najwyraźniej ktoś opróżnił Balancer Pool złożony z WETH i STA i ukradł z WETH o wartości 500 000 $.
Balancer potwierdził incydent, dodając więcej szczegółów, które stwierdzały, że osoba atakująca była w stanie zdobyć środki z dwóch pul zawierających tokeny z opłatami za transfer, często nazywanymi tokenami deflacyjnymi. Zdecentralizowany agregator giełdowy 1inch również rzucił światło na sytuację wyjaśniając, że atakujący wykorzystał inteligentny kontrakt do automatyzacji wielu działań w jednej transakcji. DeFi rośnie w siłę | pl.beincrypto.com Atak arbitrażowy był możliwy dzięki strukturze Balancer Pool, które są wielowymiarowymi automatycznymi animatorami rynku (AMM). Zawierają wiele aktywów i utrzymują je w zrównoważonych proporcjach poprzez tworzenie możliwości arbitrażu do zamiany dowolnych aktywów poprzez formowanie cen za pomocą specjalnej formuły. Atak rozpoczął się od pożyczki błyskawicznej 104 wrapped Ethereum (WETH) z platformy DeFi dYdx. Wrapped Ethereum to zbywalna wersja ETH dla innych tokenów ERC-20 na zdecentralizowanych platformach. Pożyczka błyskawiczna jest skuteczna, gdy ktoś wykorzystuje inteligentną umowę, aby pożyczyć aktywa kryptograficzne bez zabezpieczenia, a następnie spłaca je w tej samej transakcji. Pomiędzy pożyczaniem a spłacaniem, osoba atakująca może wykorzystać inne protokoły DeFi, platformy pożyczkowe, DEXy i inteligentne kontrakty, aby skorzystać z rynków o niskiej płynności w celu uzyskania czystego zysku. W tym przypadku fundusze zostały wykorzystane do zamiany WETH na token STA tam i z powrotem 24 razy, co wyczerpało saldo STA z puli. STA lub Statera działa na algorytmie deflacyjnym, który został zaprojektowany w celu zapewnienia, że ​​dla każdej transakcji 1% kwoty transakcji zostanie zniszczone. Przy każdej transakcji STA ma opłatę za transfer, a pula oczekuje, że otrzyma saldo bez opłaty. Za każdym razem, gdy atakujący zamieniał WETH na STA, Balancer Pool otrzymywało 1% mniej STA niż oczekiwano, co następnie wyczerpało pulę. Atakujący następnie zaangażował się w dalszą zamianę tokena (swapping), aby spłacić saldo tokenów Bitcoin (wBTC), Synthetix (SNX) i Chainlink (LINK) z puli przed spłatą pożyczki flash. Podobno kwota skradziona podczas ataku wyniosła podobno ok. 500 000 USD. Według Coingecko ceny STA spadły o 90% w momencie ataku. DEX dodał, że sprawca wiedział, co robi, a atak był dobrze zaplanowany.
Osobą odpowiedzialną za ten atak był bardzo wyrafinowanym inżynier smart kontraktów z rozległą wiedzą i zrozumieniem wiodących protokołów DeFi. Atak został zorganizowany i dobrze przygotowany z wyprzedzeniem.
problemy DeFi | pl.beincrypto.com

Poprzednie ostrzeżenia

Balancer oświadczył, że doda tokeny opłat transferowych do czarnej listy interfejsu użytkownika i utworzy więcej dokumentacji na temat ryzyka związanego z działaniem Pool oraz tego, w jaki sposób uszkodzone lub złośliwie zaprojektowane tokeny mogą potencjalnie pozbawić zasoby puli:
Balancer przeszedł 2 pełne audyty i ma już trzeci planowany (przed dzisiaj), który rozpocznie się wkrótce. Będziemy kontynuować audyt i przegląd protokołu.
Według Hex Capital [@Hex_Capital] luka była już znana wcześniej, gdy została ogłoszona jako bug bounty w maju:
Pula @StateraProject została wyczerpana, ponieważ Balancer Labs odmówił uznania tej krytycznej luki, o której powiadomiłem ich w MAJU. Jest to obecnie poważny problem w branży kryptowalut – tworzenie programów z nagrodami za błędy, a następnie ignorowanie wyników + odmowa wypłaty. Musimy zrobić to lepiej.
Mike McDonald [@mikeraymcdonald], współzałożyciel Balancer Labs, odpowiedział przeprosinami, dodając, że exploit pożyczki błyskawicznej umożliwił przeprowadzenie ataku:
Aby wyjaśnić, przedłożony raport dotyczył handlu pulą i powolnego zmniejszania salda puli w stosunku do salda wewnętrznego, o którym byliśmy świadomi i dlaczego istniały ostrzeżenia. Dzisiaj to zadziałało z powodu flashowania. To moja wina i przepraszam, że nie poświęciłem więcej czasu na sprawdzenie sprawy.
DeFi, czyli co? | pl.beincrypto.com

Więcej luk w zabezpieczeniach DeFi

Nazwanie tego incydentu „włamaniem” byłoby niedokładne, ponieważ było to raczej wykorzystanie systemu, który miał wyraźne luki w zabezpieczeniach. Nie jest to pierwsza taka sprawa dla rozwijającego się przemysłu DeFi i najprawdopodobniej nie będzie ostatnią. Na początku tego miesiąca luki w platformie Bancor DeFi spowodowały utratę środków. Około 460 000 $ w tokenach zostało najwyraźniej pozbawionych protokołu po aktualizacji inteligentnych kontraktów. Bancor stwierdził, że inteligentna umowa została poddana audytowi i potwierdził, że środki użytkowników są bezpieczne. Pożyczki błyskawiczne zostały wykorzystane na początku tego roku, co było jednym z największych naruszeń zabezpieczeń DeFi do tej pory. W protokole bZx DeFi skradziono nieco mniej niż 1 milion dolarów, co nazwano „oracle manipulation attack”, w którym dwa osobne zdarzenia umożliwiły złośliwym podmiotom wykorzystanie systemu. Założyciel Compound Finance Robert Leshner [@rleshner] doradził ostrożność przy dodawaniu zasobów do protokołów DeFi:
Dlatego musicie zrozumieć niuansy każdego zasobu dodanego do protokołu. Ten sam nadzór obalił lendFme. #DeFi musi być bardziej ostrożne.
W momencie pisania nie było masowych wyjść z protokołów DeFi, a całkowita zablokowana wartość była nadal bliska najwyższego poziomu w historii, zgodnie z DeFi Pulse. Balancer spadł z powrotem na czwarte miejsce, jednak zabezpieczenia na platformie wciąż były bliskie swojej rekordowej wartości wynoszącej około 120 milionów dolarów.
Najlepsze platformy dla krypto inwestorów | Listopad 2024
Najlepsze platformy dla krypto inwestorów | Listopad 2024
Najlepsze platformy dla krypto inwestorów | Listopad 2024

Wyjaśnienie

Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.

Zbudowane przez Ari10. Możliwość płatności BLIK
Zbudowane przez Ari10. Możliwość płatności BLIK
images.jpeg
Artykuł reklamowy
Artykuł reklamowy to uniwersalna nazwa autora dla wszystkich treści sponsorowanych dostarczanych przez partnerów BeInCrypto. W związku z tym artykuły te, tworzone przez strony trzecie w celach promocyjnych, mogą nie być zgodne z poglądami lub opiniami BeInCrypto. Chociaż dokładamy wszelkich starań, aby zweryfikować wiarygodność prezentowanych projektów, artykuły te mają charakter reklamowy i nie powinny być traktowane jako porady finansowe. Zachęcamy czytelników do przeprowadzania...
READ FULL BIO
Sponsorowane
Sponsorowane