Recientemente se ha llevado a cabo un nuevo ataque de pirateo contra un protocolo DeFi. Fue Balancer, que informó inmediatamente a los usuarios del ataque en curso.
On the incident with non-standard ERC20 deflationary tokens today.https://t.co/xgYxBTDVvK
— Balancer Labs (@BalancerLabs) June 29, 2020
Para aquellos que no están familiarizados con este proyecto, este es un protocolo para administrar fondos sin custodia, un proveedor de liquidez y un sensor de precios, y su punto fuerte es el Pool Balancer, que es un AMM (Creador de Mercado Automatizado) que permite administrar la cartera, el grupo y el precio del token.
Balancer Pool permite recibir tarifas de aquellos que forman parte del mismo grupo aprovechando las oportunidades de arbitraje. El protocolo se lanzó en la red principal solo la semana pasada.
De lo que se puede aprender de la declaración oficial de Balancer, el ataque tuvo lugar contra 2 grupos que contenían 2 tokens diferentes, Statera (STA) y Stonk.
Estos fondos se han agotado: estamos hablando de más de medio millón de dólares.
El hack se realizó utilizando una técnica interesante y, antes de ejecutar el ataque, utilizaron Tornado Cash para que fuera imposible rastrear de dónde provenían los fondos.
Aquí está la historia del hack:
- Flash presta ETH desde dYdX y convierte a WETH.
- Comercio continuo de WETH y STA en cantidades crecientes
- En cada operación, STA tiene una tarifa de transferencia y el grupo espera que reciba un saldo sin la tarifa.
- Después de suficientes llamadas, el atacante llama a gulp (), que sincroniza la contabilidad del grupo interno de un saldo de tokens con el saldo real tal como está almacenado en el contrato del rastreador de tokens.
- Debido a que el saldo de STA es cercano a cero, su precio en relación con los otros tokens es extremadamente alto y el atacante ahora puede usar STA para intercambiar otros activos en el grupo de manera extremadamente económica.
Balancer declaró que, aunque obviamente esto no era de esperar, el equipo había considerado que este tipo de tokens crearían problemas y, de hecho, no estaban incluidos en el grupo de minería BAL reciente.
Balancer ahora agregará las direcciones involucradas en el hack a una lista negra y proporcionará a los usuarios más documentación sobre los posibles riesgos que estos tokens pueden involucrar. De hecho, no es tanto el protocolo lo que no es seguro, sino cómo se diseñaron estos tokens. Además, el equipo programará una tercera auditoría de protocolo.
¿De quién fue la culpa del pirateo a Balancer?
Según varios usuarios que comentaron las noticias, se debe culpar a Balancer porque el error no solo se ignoró, sino que nadie fue compensado por el programa de recompensas para descubrir posibles errores.
Este reclamo fue confirmado por el cofundador y CTO de Balancer, Mike McDonald, quien se justificó diciendo que los préstamos flash aún no estaban disponibles.
Por innovador que sea, las finanzas descentralizadas (DeFi) han sufrido una vez más un ataque que ha resultado en una gran pérdida de fondos.
Los tokens involucrados han sufrido una reducción de precio del 75% para STA y del 98% para STONK.
