Economía

Los atacantes DeFi se vuelven 'más creativos', roban USD 500,000 de Balancer

Fuente: Adobe / cendeced

La plataforma de suministro de liquidez de finanzas descentralizadas (DeFi), Balancer, fue pirateada hoy, según los informes, con un robo de criptografía por valor de USD 500,000.

Tras varios informes en línea, Balancer confirmó que el 29 de junio se produjo un incidente que afectó a dos grupos que contienen tarifas de transferencia, conocidos como tokens deflacionarios.

Su informe proporcionó pasos sobre cómo se hizo esto, lo que implica tomar un préstamo flash en ethereum (ETH) del intercambio no custodio dYdX , convertirlos a WETH (Wrapped Ethereum), intercambiar más de estos tokens WETH y STA, agotar el saldo de STA del grupo, y como el saldo es cercano a cero, "su precio en relación con los otros tokens es extremadamente alto y el atacante ahora puede usar STA para intercambiar otros activos en el grupo de manera extremadamente barata", dijo la plataforma. Este informe no dijo explícitamente cuánto dinero fue robado, sino que proporcionó un explorador de contratos.

El intercambio de 1 pulgada también emitió un informe, diciendo que, siguiendo una serie de pasos complejos, "debido a la implementación de la tarifa de transferencia de token de STA, el grupo nunca recibió STA pero lanzó WETH independientemente. El mismo paso se repitió para drenar WBTC , SNX y LINK token saldos de la piscina ". En general, escriben, el atacante sacó más de USD 500,000, transfiriéndolo a esta dirección , que actualmente tiene ETH 601 (c. USD 134,000).

Si esto suena familiar, es porque vimos ataques similares a principios de este año. En febrero, la plataforma de préstamo y comercio de margen tokenizado bZx sufrió dos ataques, que se definieron como no un ataque de oráculo, sino "una inteligente ejecución de arbitraje ".

En abril, se dio otro golpe a la joven industria de DeFi, cuando los atacantes explotaron una vulnerabilidad conocida en el mecanismo de devolución de llamada de ERC777 (imBTC, un token Ethereum valorado en una tasa 1: 1 con bitcoin (BTC) ), que les permitió secuestrar una transacción y vender el mismo lote de tokens varias veces. Los ataques en ese momento afectaron a Uniswap y Lendf.Me .

Los Redditors argumentaron que este ataque de Balancer era similar al hack Lendf.Me "que usaba el estándar ERC777 para el código copiado / pegado que el Compuesto diseñó solo para los tokens ERC20 porque sabían que dejaría los tokens ERC777 vulnerables a los hacks". El inversionista ángel John Wineman también estuvo entre los que notaron esta similitud.

Redditor 'Tricky_Troll' dijo que el hecho de que estos son tokens deflacionarios es relevante ya que Balancer "advirtió a las personas que no creen un grupo con tokens que tengan una tarifa de transacción o que no sean del estándar ERC20".

En su informe, Balancer dijo que "no sabían que este tipo específico de ataque era posible", pero que "advirtieron […] consistentemente sobre los efectos no deseados que los ERC20 con tarifas de transferencia podrían tener en el protocolo", y que esto Es por eso que STA no se incluyó en la lista blanca de minería BAL. "El sistema está diseñado para ERC20 compatibles y cuando los tokens se comportan de manera involuntaria, pueden suceder cosas malas", dijeron.

Hex Capital argumentó que se conocía la vulnerabilidad, diciendo que enviaron "este vector de ataque exacto a su programa de recompensas de errores el 5/6 y se les denegó el pago", y agregó: "El grupo del Proyecto Statera fue drenado porque Balancer Labs se negó a reconocer esta vulnerabilidad crítica" Los alerté en mayo. Este es un problema importante en la criptografía hoy: crear programas de recompensas de errores y luego ignorar los resultados + negarse a pagar. Necesitamos hacerlo mejor ".

El cofundador y director de tecnología de Balancer, Mike McDonald, escribió que el informe presentado hablaba de "negociar un grupo y disminuir lentamente el saldo de los grupos frente al equilibrio interno del que éramos conscientes y por qué existían las advertencias. Hoy funcionó debido a los flashlending . Ese es mi culpa y me disculpo por no tomar más tiempo para revisar otras consecuencias de lo que podría suceder ".

1inch escribe que "la persona detrás de este ataque era un ingeniero de contrato inteligente muy sofisticado con un amplio conocimiento y comprensión de los principales protocolos de DeFi", y que "el ataque fue organizado y bien preparado de antemano".

El gerente de marketing de productos de SetProtocol , Anthony Sassano, argumentó que, dado que el mezclador ETH Tornado Cash se utilizó para financiar la primera billetera, "los atacantes DeFi se están volviendo más sofisticados y creativos".

Otros se preguntan si hubo algún juego sucio involucrado. "Eso suena realmente negligente, casi como si hubiera sido a propósito", dijo 'rahul8658' en el hilo de Reddit. "¿Salir de estafa con negación plausible?", Preguntó 'Atención al cliente de Ethereum' en Twitter.

Balancer ha tenido una semana muy turbulenta. Salió hace unos días, inmediatamente después de que comenzó a distribuir su nuevo token BAL a los usuarios.

Poco después de eso, sin embargo, el equipo detrás del nuevo protocolo tuvo que intervenir para evitar que el intercambio FTX continúe explotando una debilidad en el sistema de distribución de tokens.

A diferencia de lo que se vio después del segundo ataque en bZx, el valor total bloqueado (TVL) en DeFi no cayó bruscamente esta vez, situándose en USD 1,62 mil millones.

Fuente: DeFi Pulse

Sin embargo, ha habido un cambio en la clasificación, con Compound ahora tomando el primer lugar , seguido por Maker y Synthetix , y Balancer bajando al cuarto lugar, con una TVL de USD 116.3 millones. Cayó 142% en las últimas 24 horas, por Defi Pulse.

Según la dirección del contrato del token en Etherscan (a las 8:50 UTC), BAL se cotiza a USD 11.5, casi la mitad de los USD 20.5 informados hace cinco días.

Nos pusimos en contacto con Balancer Labs y lo actualizaremos si responden.

Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lo más popular

To Top