闲谈 || Balancer遭黑客攻击损失50万美金 || DeFi安全如何保障【红包】

近期DeFi如火如荼，迎来一波新的发展浪潮，DeFi生态锁定的总资产一度达到17亿美元，突破历史新高。然而“祸兮福之所倚，福兮祸之所伏“，DeFi也因此被黑客盯上了。

在北京时间6月29日，DeFi中出现黑客攻击恶性事件。Balancer自动化做市商协议在一次以太（ETH）交易中被黑客盗取了超过500,000美元，由于dYdX快贷。

根据事件发生几小时后1inch.exchange团队的分析，精心设计的交易占用了超过800万天gas，约占以太坊区块的三分之二，偷走了超过500,000美元的以太币，Wrapped Bitcoin（WBTC），Chainlink（LINK）和Synthetix（SNX）令牌。

利用程序化燃烧

时间戳记在世界标准时间周日下午6点，该交易以dYdX的一笔104,000 ETH（约2300万美元）的快速贷款开始。

该漏洞利用Statera（STA），这是一种通货紧缩令牌，其中每笔交易的1％被自动燃烧。 Balancer的智能合约似乎未能说明这一点，因此期望每笔交易都将全额支付。

黑客通过在Statera和以太之间来回交换24次来利用此漏洞。在每个步骤中，合同可用的STA余额减少了1％，但是智能合同没有考虑到这一点。因此，尽管供应减少，但STA的价格仍保持稳定。

正如Balancer的披露所指出的，在此过程结束时，攻击者调用了一个函数，该函数根据有效池余额来更新价格。由于STA侧为空，因此突然定价很高。

黑客使用“ weiSTA”（即令牌的十亿分之一）来交换平台上的其他资产，包括ETH，BTC，LINK和SNX。由于燃烧机制，weiSTA从未真正交换过，这使黑客可以多次执行转移操作，直到所有STA池都变干为止。

然后，他们将STA的其余部分交换为Balancer Pool代币，并通过Uniswap将其兑现给以太币。

安全措施受到质疑

安全研究人员和STA团队指控Balancer团队忽略了将近两个月前提交的错误报告。Balancer的首席技术官Mike McDonald 确认了该报告的存在，声称报告中概述的问题本质上是无法利用的，并且将事件归咎于紧急贷款。值得注意的是，通过快速贷款实现的任何利用也容易受到拥有大量资金的黑客的攻击。

在随后被删除的推文中，麦当劳似乎对该错误负责。

有媒体从STA团队获得了屏幕截图，进一步表明Balancer在事件发生前几天就敏锐地意识到Statera之类的手续费代币的问题。

虽然Balancer对STA池采取了预防措施，没有把它包括在流动性挖掘计划中，但尚不清楚为什么该问题未在智能合约级别得到解决。同时，该协议是未经许可的，任何人都可以自行承担添加新池的风险。这类似于dForce骇客事件期间在Uniswap上发生的事件，在该事件中，根据团队的建议创建的池同时遭到了骇客攻击。

尽管如此，Statera团队认为风险并未得到充分披露，一位代表说：

“他们唯一的警告是在其网站上，表明该项目处于beta测试阶段，所有资金均处于风险之中。”

尽管Balancer文档确实提到了类似Statera的代币的风险，但它们仅涉及“套利机会”。Statera的代表说：

“ 如果我们知道我们有遭受此类攻击的危险，我们就不会选择Balancer。”

（本文内容仅供参考，切勿作为投资依据；投资有风险，入市须谨慎。）

无套路红包：

文字隐藏红包：（关键词提示:“的”）

12:18第二轮红包，关键词提示："a"

小提示：进入长文时已记录顺序，有效阅读3分钟以上再评论点赞，结算时点赞收益更佳。

更文不易，如果你觉得本文不错，欢迎点赞、评论、转发及关注，你的支持是对我最大的鼓励。

往期文章：

6月28号: 闲谈 || 爱沙尼亚撤销500家加密公司的许可证 || 加密行业的合规之路【红包】

6月27号:干货 || 全球稳定币如何促进世界金融稳定 || 稳定币对传统金融体系的冲击【红包】

—-

编译者/作者：来自外太空的人

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。