Команда, стоящая за протоколом децентрализованного финансирования (DeFi) Balancer, опубликовала в среду предварительный отчет о вскрытии, в котором подробно описывается причина эксплойта, который перекачал 116 миллионов долларов на рынки DeFi.
Согласно отчету, в понедельник Balancer подвергся сложному эксплойту кода, который затронул стабильные пулы Balancer v2 и Composable Stable v5, в то время как все остальные типы пулов остались незатронутыми.
Хакер использовал комбинацию BatchSwaps, которая позволяет пользователю объединить несколько действий в одну транзакцию, включая флэш-займы — краткосрочные кредиты, заимствованные и погашенные в рамках одной транзакции, — а также использование функции округления более высокого уровня, которая влияет на свопы EXACT_OUT в стабильных пулах.
Функция округления предназначена для округления в меньшую сторону, если входными данными являются цены токенов. Однако хакер смог манипулировать этими значениями округления и в сочетании с функцией BatchSwap вывел средства из стабильных пулов. Команда написала:
«Во многих случаях использованные средства оставались в Хранилище в качестве внутренних остатков, прежде чем были выведены в последующих транзакциях».
Взлом служит напоминанием о том, что горячие кошельки, пулы ликвидности и онлайн-фонды, доступные в Интернете, уязвимы для развивающихся угроз кибербезопасности со стороны хакеров, что побуждает пользователей криптовалюты и разработчиков блокчейн проявлять осторожность при защите средств.
Связанный: Аудит балансировщика находится под пристальным вниманием после эксплойта на сумму более 100 миллионов долларов
Balancer реагирует на взлом на сумму 116 миллионов долларов с помощью индустрии криптовалют
Хакеры, вероятно, были опытными профессионалами, которые готовились в течение нескольких месяцев перед проведением атаки, используя серию депозитов Tornado Cash в размере 0,1 эфира (ETH) для финансирования атаки, чтобы избежать обнаружения, как ранее сообщалось.
Balancer работал с партнерами по кибербезопасности и протоколами криптовалют, чтобы вернуть или заморозить часть украденных средств, включая 5041 StakeWise Staked ETH (osETH) на сумму около 19 миллионов долларов и 13 495 токенов osGNO на сумму до 2 миллионов долларов.
Команда приостановила работу всех затронутых пулов и отключила создание новых «уязвимых» пулов до тех пор, пока проблема безопасности не будет устранена.
Balancer предложил 20%-ную белую награду этическим хакерам и преступникам за возврат украденных средств, но на момент написания этой статьи никто не претендовал на вознаграждение.
