fbpx

Pół miliona dolarów zniknęło z projektu DeFi Balancer

Marek Lesiuk
Ethereum - hacker - stolen Cyberprzestępczość

Przedsiębiorczy manipulator finansowy wykorzystał dostrzeżoną przez siebie lukę w zabezpieczeniach inteligentnego kontraktu projektu DeFi Balancer Labs, aby wyłudzić z jego puli ethereum warte ok. 500 tys. dolarów.

Doniesienia o włamaniu zaczęły pojawiać się w niedzielę na Twitterze. Pierwszy miał je dostrzec Steven Zheng, badacz blockchainu. Wieści te zostały następnie potwierdzone przez zdecentralizowany agregator giełdowy 1Inch, a także przez samego Balancera oraz jego współzałożyciela, Mike’a MacDonalda.

Niepilnowany kran z (krypto)pieniędzmi

Wedle tychże, tajemniczy amator szybkiego zysku wykorzystał do swoich celów mechanizm automatycznego balansowania obecnych na platformie kryptozasobów. Swoje działania zaczął od błyskawicznej pożyczki na podstawie inteligentnego kontraktu na innej platformie DeFi, dYdx, opiewającej na 104 wrapped ethereum (wETH) – wersji ethereum wymienialnej na tokeny ERC-20 na zdecentralizowanych platformach.

Następnie, dwudziestoczterokrotnie wymieniał te środki na obecne w puli Balancera tokeny statera (STA). Istotny okazał się tutaj deflacyjny algorytm działania STA, zgodnie z którym w toku każdej transakcji tokenem, 1% wartości wykorzystanego w tej transakcji aktywa przepada jako wymuszony koszt tejże transakcji. Jednocześnie system balansujący aktywa „spodziewał się” zainkasować kwotę bez uwzględnienia wspomnianego 1%, i tak też księgował otrzymane wpływy.

Skutkiem tego wszystkiego, w toku kolejnych transakcji przedsiębiorczemu kombinatorowi udało się nieomal wyczerpać zasoby STA z puli platformy Balancer Labs. Procedurę tę powtórzył on następnie w odniesieniu do tokenów wrapped bitcoin (wBTC), chainlink (LINK) oraz synthetix (SNX) – takæe zerując ich salda. Na koniec, wyssawszy z zasobów Balancera, co był w stanie, zwrócił pożyczone uprzednio wETH i ulotnił się w siną dal internetu.

Były tokeny, nie ma tokenów

W efekcie tego skoku, doszło do katastrofalnego (dla posiadaczy) załamania kursu tokenu statera, który od niedzieli stracił ponad 70% wartości. Mike MacDonald przeprosił za sytuację, oświadczając, że platforma wciągnie na czarną listę tokeny deflacyjne o podobnej konstrukcji, zawierające wbudowaną opłatę transakcyjną. Dodał, że w celu oceny i wyjaśnienia sytuacji, Balancer Labs podda się audytowi (już trzeciemu w ostatnim czasie).

Pojawiły się jednak także głosy twierdzące, że Balancer był już w maju informowany o podatności na atak o dokładnie takim mechanizmie, jaki zaistniał – i że platforma te sygnały zignorowała. Niektórzy zaś użytkownicy, w związku z poniesionymi stratami, zaczęli rozważać możliwość złożenia zbiorowego pozwu przeciw platformie. Ta ze swej strony zapewniła z kolei, że zrekompensuje straty tym, którzy ponieśli je w związku z włamaniem – jak również wypłaci nagrodę autorom wcześniejszych (a zignorowanych) ostrzeżeń..