Os pools de multi-tokens da plataforma DeFi Balancer estavam sob ataque hoje após um hacker ter drenado cerca de $500 mil de fundos.
Um Engenheiro de Smart Contracts Sofisticado Está Por Trás do Hack?
As Finanças Descentralizadas [DeFi] estiveram nas manchetes ultimamente após o lançamento de dois tokens de governança proeminentes do protocolo de empréstimo da Compound Finance assim como da exchange descentralizada Balancer. O token COMP da Compound foi o primeiro a chegar ao mercado e ainda tem todo o espaço DeFi em sua dominância.
Enquanto a Balancer também estava indo bem, a plataforma revelou um defeito recente que experimentou. A Balancer Labs revelou que um atacante drenou fundos no valor de cerca de $500.000 de dois pools que sustentavam tokens deflacionários. Os tokens nesses pools eram os tokens STA e STONK.
Os pools com os tokens mencionados acima com as taxas de transferência foram os únicos afetados pelo hack. O co-fundador da plataforma, Mike McDonald falou sobre o mesmo num post recente em um blog.
Um hacker realizou isso com duas transações diferentes. O hacker conseguiu um empréstimo no valor de 23 milhões de USD em Ether da plataforma descentralizada de tomar e fazer empréstimos dYdX. A WETH, assim como a STA, foi ainda negociada continuamente em torno de 24 vezes em grandes volumes, fazendo com que o saldo da STA no pool despencasse para uma baixa de 0, 000000000000000001 STA. Cada vez que a WETH era convertida em STA a Balancer Pool ganhava 1 porcento menos STA do que a quantia normal.
1inch, uma agregadora de DEX falou sobre o mesmo em seu post do Medium e afirmou,
“Como próximo passo, o hacker trocou 1 weiSTA por WETH diversas vezes. Devido à implementação da taxa de transferência de STA, o pool nunca recebeu o STA, mas lançou o WETH independentemente disso. O mesmo passo foi repetido para drenar os saldos dos tokens WBTC, SNX e LINK do pool.”
Mesmo que a Balancer não estivesse ciente da possibilidade de tal ataque, a plataforma afirma que avisou seus usuários sobre os “efeitos não pretendidos dos ERC20s com taxas de transferência que poderia haver no protocolo.”
A 1inch acredita que o ataque foi realizado por um “engenheiro sofisticado de smart contracts” que tinha um grande conhecimento sobre o espaço DeFi e seus protocolos. Os fundos roubados fora em seguida transferidos para o endereço, 0xBF675C80540111A310B06e1482f9127eF4E7469A.
Além disso, a Balancer sugeriu que a plataforma iria adicionar tokens de taxa de transferência para a blacklist de UI, mais documentações relacionadas ao funcionamento dos pools e até mesmo inventou uma terceira auditoria que iria acontecer antes de hoje.