Balancer Pool straciło 500 tys. dolarów w ETH przez luki w bezpieczeństwie DeFi

Rynki DeFi wciąż rosną od szalonego tygodnia, w którym całkowita wartość zablokowana (TVL) w branży osiągnęła rekordowy poziom 1,65 miliarda dolarów. Ten ruch został w dużej mierze katalizowany przez zachęty do dystrybucji żetonów, które zwiększają płynność przez Compound Finance i Balancer. Tą ostatnią firmą wstrząsnął atak w weekend, który rzekomo doprowadził do utraty pół miliona dolarów w Ethereum.

Balancer Pool celem oszustów

W niedzielę na krypto-twiterze pojawiły się doniesienia, że ​​Balancer Pool padł ofiarą najnowszej inwazji cyfrowej. Jednym z pierwszych, którzy zgłosili incydent, był badacz Steven Zheng, który napisał na Twitterze:

Najwyraźniej ktoś opróżnił Balancer Pool złożony z WETH i STA i ukradł z WETH o wartości 500 000 $.

Balancer potwierdził incydent, dodając więcej szczegółów, które stwierdzały, że osoba atakująca była w stanie zdobyć środki z dwóch pul zawierających tokeny z opłatami za transfer, często nazywanymi tokenami deflacyjnymi. Zdecentralizowany agregator giełdowy 1inch również rzucił światło na sytuację wyjaśniając, że atakujący wykorzystał inteligentny kontrakt do automatyzacji wielu działań w jednej transakcji. Atak arbitrażowy był możliwy dzięki strukturze Balancer Pool, które są wielowymiarowymi automatycznymi animatorami rynku (AMM). Zawierają wiele aktywów i utrzymują je w zrównoważonych proporcjach poprzez tworzenie możliwości arbitrażu do zamiany dowolnych aktywów poprzez formowanie cen za pomocą specjalnej formuły. Atak rozpoczął się od pożyczki błyskawicznej 104 wrapped Ethereum (WETH) z platformy DeFi dYdx. Wrapped Ethereum to zbywalna wersja ETH dla innych tokenów ERC-20 na zdecentralizowanych platformach. Pożyczka błyskawiczna jest skuteczna, gdy ktoś wykorzystuje inteligentną umowę, aby pożyczyć aktywa kryptograficzne bez zabezpieczenia, a następnie spłaca je w tej samej transakcji. Pomiędzy pożyczaniem a spłacaniem, osoba atakująca może wykorzystać inne protokoły DeFi, platformy pożyczkowe, DEXy i inteligentne kontrakty, aby skorzystać z rynków o niskiej płynności w celu uzyskania czystego zysku. W tym przypadku fundusze zostały wykorzystane do zamiany WETH na token STA tam i z powrotem 24 razy, co wyczerpało saldo STA z puli. STA lub Statera działa na algorytmie deflacyjnym, który został zaprojektowany w celu zapewnienia, że ​​dla każdej transakcji 1% kwoty transakcji zostanie zniszczone. Przy każdej transakcji STA ma opłatę za transfer, a pula oczekuje, że otrzyma saldo bez opłaty. Za każdym razem, gdy atakujący zamieniał WETH na STA, Balancer Pool otrzymywało 1% mniej STA niż oczekiwano, co następnie wyczerpało pulę. Atakujący następnie zaangażował się w dalszą zamianę tokena (swapping), aby spłacić saldo tokenów Bitcoin (wBTC), Synthetix (SNX) i Chainlink (LINK) z puli przed spłatą pożyczki flash. Podobno kwota skradziona podczas ataku wyniosła podobno ok. 500 000 USD. Według Coingecko ceny STA spadły o 90% w momencie ataku. DEX dodał, że sprawca wiedział, co robi, a atak był dobrze zaplanowany.

Osobą odpowiedzialną za ten atak był bardzo wyrafinowanym inżynier smart kontraktów z rozległą wiedzą i zrozumieniem wiodących protokołów DeFi. Atak został zorganizowany i dobrze przygotowany z wyprzedzeniem.

Poprzednie ostrzeżenia

Balancer oświadczył, że doda tokeny opłat transferowych do czarnej listy interfejsu użytkownika i utworzy więcej dokumentacji na temat ryzyka związanego z działaniem Pool oraz tego, w jaki sposób uszkodzone lub złośliwie zaprojektowane tokeny mogą potencjalnie pozbawić zasoby puli:

Balancer przeszedł 2 pełne audyty i ma już trzeci planowany (przed dzisiaj), który rozpocznie się wkrótce. Będziemy kontynuować audyt i przegląd protokołu.

Według Hex Capital [@Hex_Capital] luka była już znana wcześniej, gdy została ogłoszona jako bug bounty w maju:

Pula @StateraProject została wyczerpana, ponieważ Balancer Labs odmówił uznania tej krytycznej luki, o której powiadomiłem ich w MAJU. Jest to obecnie poważny problem w branży kryptowalut – tworzenie programów z nagrodami za błędy, a następnie ignorowanie wyników + odmowa wypłaty. Musimy zrobić to lepiej.

Mike McDonald [@mikeraymcdonald], współzałożyciel Balancer Labs, odpowiedział przeprosinami, dodając, że exploit pożyczki błyskawicznej umożliwił przeprowadzenie ataku:

Aby wyjaśnić, przedłożony raport dotyczył handlu pulą i powolnego zmniejszania salda puli w stosunku do salda wewnętrznego, o którym byliśmy świadomi i dlaczego istniały ostrzeżenia. Dzisiaj to zadziałało z powodu flashowania. To moja wina i przepraszam, że nie poświęciłem więcej czasu na sprawdzenie sprawy.

Więcej luk w zabezpieczeniach DeFi

Nazwanie tego incydentu „włamaniem” byłoby niedokładne, ponieważ było to raczej wykorzystanie systemu, który miał wyraźne luki w zabezpieczeniach. Nie jest to pierwsza taka sprawa dla rozwijającego się przemysłu DeFi i najprawdopodobniej nie będzie ostatnią. Na początku tego miesiąca luki w platformie Bancor DeFi spowodowały utratę środków. Około 460 000 $ w tokenach zostało najwyraźniej pozbawionych protokołu po aktualizacji inteligentnych kontraktów. Bancor stwierdził, że inteligentna umowa została poddana audytowi i potwierdził, że środki użytkowników są bezpieczne. Pożyczki błyskawiczne zostały wykorzystane na początku tego roku, co było jednym z największych naruszeń zabezpieczeń DeFi do tej pory. W protokole bZx DeFi skradziono nieco mniej niż 1 milion dolarów, co nazwano „oracle manipulation attack”, w którym dwa osobne zdarzenia umożliwiły złośliwym podmiotom wykorzystanie systemu. Założyciel Compound Finance Robert Leshner [@rleshner] doradził ostrożność przy dodawaniu zasobów do protokołów DeFi:

Dlatego musicie zrozumieć niuansy każdego zasobu dodanego do protokołu. Ten sam nadzór obalił lendFme. #DeFi musi być bardziej ostrożne.

W momencie pisania nie było masowych wyjść z protokołów DeFi, a całkowita zablokowana wartość była nadal bliska najwyższego poziomu w historii, zgodnie z DeFi Pulse. Balancer spadł z powrotem na czwarte miejsce, jednak zabezpieczenia na platformie wciąż były bliskie swojej rekordowej wartości wynoszącej około 120 milionów dolarów.