Hacker rouba US$ 450 mil em tokens do protocolo Balancer no último fim de semana

10 Views
Read Time2 Minute

Dois pools multitokens no Balancerprotocolo automatizado de formação de mercado, perderam cerca de US$ 450 mil nesse domingo (30) devido a uma invasão; o hacker desejava atacar pools específicos que contêm os chamados tokens deflacionários.

O hacker realizou o ataque em duas transações distintas: uma aconteceu às 15h03 (horário de Brasília); a outra, às 15h49. Apenas pools com STA e STONK, tokens deflacionários com taxas de transferência, foram afetados por essa invasão.

O invasor obteve um empréstimo-relâmpago (ou “flash loan”) de US$ 23 milhões em ether da corretora dYdX, converteu-os em wETH para STA 24 vezes.

Isso permitiu que o hacker zerasse o saldo de STA no pool até 0,000000000000000001 STA conforme 1% de taxas de transação foi subtraído em cada negociação. O saldo de STA estava próximo a zero, permitindo que o invasor trocasse o token por outros ativos no pool por um preço muito barato.

O invasor pegou 601.3 ETH (US$ 134,8 mil), 11,36 wBTC (US$ 103,5 mil), 22.593 LINK (US$ 102,8 mil) e 60.915 SNX (US$ 110,9 mil). No total, o invasor teve acesso a cerca de US$ 452 mil.

1inch, agregadora de corretoras descentralizadas, afirmou em um comunicado que o invasor era um “engenheiro de contratos autônomos muito sofisticado, com conhecimento e compreensão extensos dos principais protocolos DeFi”.

Ethers usados para aplicar contratos autônomos foram misturados usando a ferramenta Tornado Cash para esconder a fonte.

Balancer disse que não sabia que esse tipo específico de invasão era possível, mas havia alertado sobre os efeitos indesejados de tokens deflacionários com taxas de transferência.

Começou a acrescentar tokens deflacionários à lista de rejeição da interface de usuários (UI) da mesma forma que já haviam feito com tokens de transferência sem valor booleano (verdadeiro ou falso). O protocolo acrescentou que já passou por duas auditorias completas e que já planejaram uma terceira.

Esse foi a quinta invasão de alto nível nos protocolos de Finanças Abertas (ou DeFi). As duas primeiras aconteceram no dia 15 de fevereiro, quando invasores roubaram mais de US$ 1 milhão do protocolo de empréstimos bZx.

Em abril, o protocolo dForce teve US$ 25 milhões roubados, mas a quantia total foi devolvida pelo invasor por motivos ainda desconhecidos.

FONTE: MONEY TIMES

0 0

Deixe uma resposta