Команда, яка розробляє протокол децентралізованих фінансів (DeFi) Balancer, у середу опублікувала попередній аналітичний звіт, у якому детально описано причину експлойту, який вивів 116 мільйонів доларів на ринки DeFi.
Відповідно до звіту, у понеділок Balancer постраждав від складного експлойту коду, який вплинув на стабільні пули Balancer v2 і Composable Stable v5, тоді як усі інші типи пулів не вплинули.
Хакер використовував комбінацію BatchSwaps, яка дозволяє користувачеві об’єднувати кілька дій в одній транзакції, включаючи flashloans — короткострокові позики, які позичаються та повертаються в рамках однієї транзакції — і експлойт функції високого округлення, яка впливає на свопи EXACT_OUT у стабільних пулах.
Функція округлення призначена для округлення в меншу сторону, коли вхідними даними є ціни токенів. Однак хакер зміг маніпулювати цими значеннями округлення та в поєднанні з функцією BatchSwap викачав кошти зі стабільних пулів. Команда написала:
«У багатьох випадках використані кошти залишалися в Сховищі як внутрішні залишки перед тим, як їх виводити під час наступних транзакцій».
Злом слугує нагадуванням про те, що гарячі гаманці, пули ліквідності та ончейн-фонди, доступні в Інтернеті, вразливі до нових загроз кібербезпеці з боку хакерів, що спонукає користувачів криптовалюти та розробників блокчейнів бути обережними, захищаючи кошти.
Пов’язане: перевірки балансувальника під увагою після експлойту понад 100 мільйонів доларів
Balancer реагує на злом $116 мільйонів за допомогою індустрії криптовалют
Хакери, ймовірно, були кваліфікованими професіоналами, які готувалися місяцями, перш ніж здійснити свою атаку, використовуючи серію депозитів Tornado Cash у розмірі 0,1 Ether (ETH) для фінансування атаки, щоб уникнути виявлення, повідомляв раніше Cointelegraph.
Balancer працював із партнерами з кібербезпеки та протоколами криптовалюти, щоб повернути або заморозити частину вкрадених коштів, включаючи 5041 StakeWise Staked ETH (osETH), вартістю близько 19 мільйонів доларів, і 13 495 токенів osGNO, вартістю до 2 мільйонів доларів.
Команда призупинила всі постраждалі пули та вимкнула створення нових «вразливих» пулів, доки проблему безпеки не буде вирішено.
Balancer запропонував винагороду у розмірі 20% для етичних хакерів і зловмисників за повернення вкрадених коштів, але на момент написання цієї статті ніхто не вимагав винагороди.
