DeFi协议平衡器似乎通过漏洞利用而被黑客攻击

Balancer自动化做市商协议在一次以太（ETH）交易中被黑客盗取了超过500,000美元，这再次得到dYdX快贷的支持。

根据事件发生几小时后1inch.exchange团队的分析，精心设计的交易占用了超过800万天然气，约占以太坊区块的三分之二，偷走了超过500,000美元的以太币，包裹比特币（WBTC），Chainlink（LINK ）和Synthetix（SNX）令牌。

利用程序化刻录

时间戳记在世界标准时间周日下午6点开始，该交易以dYdX的一笔104,000 ETH（约2300万美元）的快速贷款开始。

该漏洞利用Statera（STA），这是一种通货紧缩令牌，其中每笔交易的1％被自动刻录。 平衡器的智能合约似乎未能说明这一点，因此期望每笔交易都将全额支付。

黑客通过在Statera和以太之间来回交换24次来利用此漏洞。 在每个步骤中，合同可用的STA余额减少了1％，但是智能合同没有考虑到这一点。 因此，尽管供应减少，但STA的价格仍保持稳定。

正如Balancer的披露所指出的，在此过程结束时，攻击者调用了一个函数，该函数根据有效池余额来更新价格。 由于STA侧为空，因此突然定价很高。

黑客使用“ weiSTA”（即令牌的十亿分之一）来交换平台上的其他资产，包括ETH，BTC，LINK和SNX。 由于刻录机制，weiSTA从未真正交换过，这使黑客可以多次执行转移操作，直到所有STA池都变干为止。

然后，他们将STA的其余部分交换为Balancer Pool代币，并通过Uniswap将其兑现给以太币。

安全实践受到质疑

安全研究人员和STA团队指控Balancer团队忽略了将近两个月前提交的错误报告。 Balancer的首席技术官Mike McDonald确认了该报告的存在，声称报告中概述的问题本质上是无法利用的，并且将事件归咎于紧急贷款。 值得注意的是，通过快速贷款实现的任何利用也容易受到拥有大量资金的黑客的攻击。

在随后被删除的推文中，麦当劳似乎对该错误负责。

Cointelegraph从STA团队获得了屏幕截图，进一步表明Balancer在事件发生前几天就敏锐地意识到Statera之类的手续费代币的问题。

虽然Balancer通过不将STA池包括在流动性挖掘程序中??来采取了预防措施，但尚不清楚为什么该问题未在智能合约级别得到解决。 同时，该协议是未经许可的，任何人都可以自行承担添加新池的风险。 这类似于在dForce黑客攻击期间Uniswap上发生的事件，在该事件中，根据团队建议创建的池同时被黑客攻击。

尽管如此，Statera团队认为风险并未得到充分披露，一位代表说：

“他们唯一的警告是在其网站上，表明该项目处于beta测试阶段，所有资金均处于风险之中。”

尽管Balancer文档确实提到了类似Statera的代币的风险，但它们仅涉及“套利机会”。 Statera代表说：“[we] 如果我们知道我们有遭受此类攻击的风险，那么就不会选择Balancer。”

Cointelegraph向Balancer寻求更多信息，但没有立即收到回复。

—-

原文链接：https://cointelegraph.com/news/defi-protocol-balancer-hacked-through-exploit-it-seemingly-knew-about

原文作者：Cointelegraph By Andrey Shevchenko

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。