Zdecentralizowany system finansowy (DeFi) odnotował swój najlepszy jak dotąd tydzień w zeszłym tygodniu, ale ten szybki wzrost przyciąga też bardziej podejrzanych operatorów, którzy chcą wykorzystać luki w powstających systemach.
Rynki DeFi wciąż rosną od szalonego tygodnia, w którym całkowita wartość zablokowana (TVL) w branży osiągnęła rekordowy poziom 1,65 miliarda dolarów. Ten ruch został w dużej mierze katalizowany przez zachęty do dystrybucji żetonów, które zwiększają płynność przez Compound Finance i Balancer.
Tą ostatnią firmą wstrząsnął atak w weekend, który rzekomo doprowadził do utraty pół miliona dolarów w Ethereum.
Balancer Pool celem oszustów
SponsoredW niedzielę na krypto-twiterze pojawiły się doniesienia, że Balancer Pool padł ofiarą najnowszej inwazji cyfrowej. Jednym z pierwszych, którzy zgłosili incydent, był badacz Steven Zheng, który napisał na Twitterze:
Najwyraźniej ktoś opróżnił Balancer Pool złożony z WETH i STA i ukradł z WETH o wartości 500 000 $.
Balancer potwierdził incydent, dodając więcej szczegółów, które stwierdzały, że osoba atakująca była w stanie zdobyć środki z dwóch pul zawierających tokeny z opłatami za transfer, często nazywanymi tokenami deflacyjnymi.
Zdecentralizowany agregator giełdowy 1inch również rzucił światło na sytuację wyjaśniając, że atakujący wykorzystał inteligentny kontrakt do automatyzacji wielu działań w jednej transakcji.
Atak arbitrażowy był możliwy dzięki strukturze Balancer Pool, które są wielowymiarowymi automatycznymi animatorami rynku (AMM). Zawierają wiele aktywów i utrzymują je w zrównoważonych proporcjach poprzez tworzenie możliwości arbitrażu do zamiany dowolnych aktywów poprzez formowanie cen za pomocą specjalnej formuły.
Atak rozpoczął się od pożyczki błyskawicznej 104 wrapped Ethereum (WETH) z platformy DeFi dYdx. Wrapped Ethereum to zbywalna wersja ETH dla innych tokenów ERC-20 na zdecentralizowanych platformach.
Pożyczka błyskawiczna jest skuteczna, gdy ktoś wykorzystuje inteligentną umowę, aby pożyczyć aktywa kryptograficzne bez zabezpieczenia, a następnie spłaca je w tej samej transakcji. Pomiędzy pożyczaniem a spłacaniem, osoba atakująca może wykorzystać inne protokoły DeFi, platformy pożyczkowe, DEXy i inteligentne kontrakty, aby skorzystać z rynków o niskiej płynności w celu uzyskania czystego zysku.
Sponsored SponsoredW tym przypadku fundusze zostały wykorzystane do zamiany WETH na token STA tam i z powrotem 24 razy, co wyczerpało saldo STA z puli. STA lub Statera działa na algorytmie deflacyjnym, który został zaprojektowany w celu zapewnienia, że dla każdej transakcji 1% kwoty transakcji zostanie zniszczone.
Przy każdej transakcji STA ma opłatę za transfer, a pula oczekuje, że otrzyma saldo bez opłaty. Za każdym razem, gdy atakujący zamieniał WETH na STA, Balancer Pool otrzymywało 1% mniej STA niż oczekiwano, co następnie wyczerpało pulę.
Atakujący następnie zaangażował się w dalszą zamianę tokena (swapping), aby spłacić saldo tokenów Bitcoin (wBTC), Synthetix (SNX) i Chainlink (LINK) z puli przed spłatą pożyczki flash. Podobno kwota skradziona podczas ataku wyniosła podobno ok. 500 000 USD. Według Coingecko ceny STA spadły o 90% w momencie ataku.
DEX dodał, że sprawca wiedział, co robi, a atak był dobrze zaplanowany.
Osobą odpowiedzialną za ten atak był bardzo wyrafinowanym inżynier smart kontraktów z rozległą wiedzą i zrozumieniem wiodących protokołów DeFi. Atak został zorganizowany i dobrze przygotowany z wyprzedzeniem.
Poprzednie ostrzeżenia
SponsoredBalancer oświadczył, że doda tokeny opłat transferowych do czarnej listy interfejsu użytkownika i utworzy więcej dokumentacji na temat ryzyka związanego z działaniem Pool oraz tego, w jaki sposób uszkodzone lub złośliwie zaprojektowane tokeny mogą potencjalnie pozbawić zasoby puli:
Balancer przeszedł 2 pełne audyty i ma już trzeci planowany (przed dzisiaj), który rozpocznie się wkrótce. Będziemy kontynuować audyt i przegląd protokołu.
Według Hex Capital [@Hex_Capital] luka była już znana wcześniej, gdy została ogłoszona jako bug bounty w maju:
Pula @StateraProject została wyczerpana, ponieważ Balancer Labs odmówił uznania tej krytycznej luki, o której powiadomiłem ich w MAJU. Jest to obecnie poważny problem w branży kryptowalut – tworzenie programów z nagrodami za błędy, a następnie ignorowanie wyników + odmowa wypłaty. Musimy zrobić to lepiej.
Mike McDonald [@mikeraymcdonald], współzałożyciel Balancer Labs, odpowiedział przeprosinami, dodając, że exploit pożyczki błyskawicznej umożliwił przeprowadzenie ataku:
Sponsored SponsoredAby wyjaśnić, przedłożony raport dotyczył handlu pulą i powolnego zmniejszania salda puli w stosunku do salda wewnętrznego, o którym byliśmy świadomi i dlaczego istniały ostrzeżenia. Dzisiaj to zadziałało z powodu flashowania. To moja wina i przepraszam, że nie poświęciłem więcej czasu na sprawdzenie sprawy.
Więcej luk w zabezpieczeniach DeFi
Nazwanie tego incydentu „włamaniem” byłoby niedokładne, ponieważ było to raczej wykorzystanie systemu, który miał wyraźne luki w zabezpieczeniach. Nie jest to pierwsza taka sprawa dla rozwijającego się przemysłu DeFi i najprawdopodobniej nie będzie ostatnią.
Na początku tego miesiąca luki w platformie Bancor DeFi spowodowały utratę środków. Około 460 000 $ w tokenach zostało najwyraźniej pozbawionych protokołu po aktualizacji inteligentnych kontraktów. Bancor stwierdził, że inteligentna umowa została poddana audytowi i potwierdził, że środki użytkowników są bezpieczne.
Pożyczki błyskawiczne zostały wykorzystane na początku tego roku, co było jednym z największych naruszeń zabezpieczeń DeFi do tej pory. W protokole bZx DeFi skradziono nieco mniej niż 1 milion dolarów, co nazwano „oracle manipulation attack”, w którym dwa osobne zdarzenia umożliwiły złośliwym podmiotom wykorzystanie systemu.
Założyciel Compound Finance Robert Leshner [@rleshner] doradził ostrożność przy dodawaniu zasobów do protokołów DeFi:
Dlatego musicie zrozumieć niuansy każdego zasobu dodanego do protokołu. Ten sam nadzór obalił lendFme. #DeFi musi być bardziej ostrożne.
W momencie pisania nie było masowych wyjść z protokołów DeFi, a całkowita zablokowana wartość była nadal bliska najwyższego poziomu w historii, zgodnie z DeFi Pulse. Balancer spadł z powrotem na czwarte miejsce, jednak zabezpieczenia na platformie wciąż były bliskie swojej rekordowej wartości wynoszącej około 120 milionów dolarów.