Przedsiębiorczy manipulator finansowy wykorzystał dostrzeżoną przez siebie lukę w zabezpieczeniach inteligentnego kontraktu projektu DeFi Balancer Labs, aby wyłudzić z jego puli ethereum warte ok. 500 tys. dolarów.
Doniesienia o włamaniu zaczęły pojawiać się w niedzielę na Twitterze. Pierwszy
miał je dostrzec Steven Zheng, badacz blockchainu. Wieści te zostały następnie potwierdzone
przez zdecentralizowany agregator giełdowy 1Inch, a także
przez samego Balancera oraz jego współzałożyciela, Mike’a MacDonalda.
Niepilnowany kran z (krypto)pieniędzmi
Wedle tychże, tajemniczy amator szybkiego zysku wykorzystał do swoich celów mechanizm automatycznego balansowania obecnych na platformie kryptozasobów. Swoje działania zaczął od błyskawicznej pożyczki na podstawie inteligentnego kontraktu na innej platformie DeFi, dYdx, opiewającej na 104
wrapped ethereum (wETH) – wersji ethereum wymienialnej na tokeny ERC-20 na zdecentralizowanych platformach.
Następnie, dwudziestoczterokrotnie wymieniał te środki na obecne w puli Balancera tokeny
statera (STA). Istotny okazał się tutaj deflacyjny algorytm działania STA, zgodnie z którym w toku każdej transakcji tokenem, 1% wartości wykorzystanego w tej transakcji aktywa przepada jako wymuszony koszt tejże transakcji. Jednocześnie system balansujący aktywa „spodziewał się” zainkasować kwotę bez uwzględnienia wspomnianego 1%, i tak też księgował otrzymane wpływy.
Skutkiem tego wszystkiego, w toku kolejnych transakcji przedsiębiorczemu kombinatorowi udało się nieomal wyczerpać zasoby STA z puli platformy Balancer Labs. Procedurę tę powtórzył on następnie w odniesieniu do tokenów
wrapped bitcoin (wBTC),
chainlink (LINK) oraz
synthetix (SNX) – takæe zerując ich salda. Na koniec, wyssawszy z zasobów Balancera, co był w stanie, zwrócił pożyczone uprzednio wETH i ulotnił się w siną dal internetu.
Były tokeny, nie ma tokenów
W efekcie tego skoku, doszło do katastrofalnego (dla posiadaczy) załamania kursu tokenu
statera, który od niedzieli stracił ponad 70% wartości. Mike MacDonald przeprosił za sytuację, oświadczając, że platforma wciągnie na czarną listę tokeny deflacyjne o podobnej konstrukcji, zawierające wbudowaną opłatę transakcyjną. Dodał, że w celu oceny i wyjaśnienia sytuacji, Balancer Labs podda się audytowi (już trzeciemu w ostatnim czasie).
Pojawiły się jednak także głosy twierdzące, że Balancer
był już w maju informowany o podatności na atak o dokładnie takim mechanizmie, jaki zaistniał – i że platforma te sygnały zignorowała. Niektórzy zaś użytkownicy, w związku z poniesionymi stratami, zaczęli
rozważać możliwość złożenia zbiorowego pozwu przeciw platformie. Ta ze swej strony
zapewniła z kolei, że zrekompensuje straty tym, którzy ponieśli je w związku z włamaniem – jak również wypłaci nagrodę autorom wcześniejszych (a zignorowanych) ostrzeżeń..
Komentarze