L'hacker sottrae 500.000 $ al fornitore di liquidità DeFi Balancer

"Non sapevamo che questo specifico tipo di attacco fosse possibile."

Il fornitore di liquidità Finanza decentralizzata (DeFi) Balancer Pool ha ammesso lunedì mattina presto di essere caduto vittima di un sofisticato attacco informatico che ha sfruttato una scappatoia, inducendo il protocollo a rilasciare token per un valore di 500.000 dollari.

In unpost del blog, Il CTO Balancer Mike McDonald ha affermato che l'attaccante aveva preso in prestito token WETH per un valore di 23 milioni di dollari, un etere-token supportato adatto al trading DeFi, in un prestito flash da DYDX. Hanno quindi fatto trading, contro se stessi, con Statera (STA), un token di investimento che utilizza un modello di commissione di trasferimento e brucia l'1% del suo valore ogni volta che viene scambiato.

L'attaccante è passato tra WETH e STA 24 volte, prosciugando il pool di liquidità STA fino a quando il saldo non è stato quasi nullo. Poiché Balancer pensava di avere la stessa quantità di STA, ha rilasciato WETH che equivalevano al saldo originale, dando all'attaccante un margine maggiore per ogni transazione completata.

Oltre a WETH, l'attaccante ha eseguito lo stesso attacco utilizzando WBTC, LINK e SNX, tutti contro token Statera.

Vedi anche: Un hacker sfrutta una falla nell'exchange decentralizzato Bitcoin Bisq per rubare 250.000 $

L'identità dell'hacker rimane un mistero, ma gli analisti di 1INCH exchange, un aggregatore di exchange decentralizzato, hanno affermato che l'hacker ha coperto bene le sue tracce: l'ether utilizzato per pagare le commissioni di transazione e distribuire contratti intelligenti è stato riciclato tramite Tornado Cash, un servizio di mixer basato su Ethereum.

"La persona dietro questo attacco era [un] ingegnere di contratti intelligenti molto sofisticato con una conoscenza e una comprensione approfondite dei principali protocolli DeFi", ha affermato 1INCH nel suo post del blogsulla breccia.

Da parte sua, il team dietro Statera ha respinto le accuse secondo cui il protocollo avrebbe fallito o sarebbe stato progettato intenzionalmente per questo tipo di attacco.

"Siamo profondamente dispiaciuti, ci scusiamo e porgiamo sinceramente le nostre condoglianze a tutte le vittime di questo attacco", ha affermato Statera in unannuncio ufficiale.

Il progetto ha aggiunto di non essere in grado di rimborsare le vittime dell'aggressore.

Vedi anche: Il progetto DeFi bZx sfruttato per la seconda volta in una settimana, perde 630.000 $ in Ether

Ora Balancer Pool inizierà a mettere nella blacklist tutti i token di commissione di trasferimento, incluso Statera, ha affermato McDonald. Oltre a un altro audit, McDonald ha affermato che il team avrebbe svolto ulteriori ricerche su come è avvenuto l'hacking e se esistono vulnerabilità simili con altri token elencati.

L'attacco non poteva arrivare in un momento peggiore per Balancer, che solo ha rilasciato il suo token di governance "BAL" la settimana scorsa.

Al momento della stampa,Dati di CoinGecko mostra che i token BAL vengono scambiati a quota 11$, in calo di circa il 5% nelle ultime 24 ore.