Balancer Pools中的安全漏洞导致大规模的$ 450K Crypto Hack

自动做市商协议Balancer上的两个池由于一次黑客攻击（主要攻击通货紧缩代币）而损失了超过45万美元。

Balancer的联合创始人兼CTO Mike McDonald在周日的Medium帖子中证实，黑客分两批发动了攻击。 第一个发生在0603 UTC，而另一个发生在大约30分钟后的0649 UTC。

两种攻击均利用STA和STONK通缩令牌，并收取1％的转移费用。

攻击解剖

正如麦当劳先生所指出的那样，攻击者设计了一种特殊的智能合约，可以在一次交易中执行多个动作。

第一步，他们从dYdX加密贷款平台获得了104,000 WETH的贷款。 然后，他们来回交换了STA令牌的金额24次。 每笔交易从平衡器池中消耗掉STA资金的1％。

因此，在每笔交易中，Balancer收到的STA代币费用越来越少。

由于其自身的局限性，矿池未能检测到排水。 DEX聚合器1inch在其Medium帖子中写道，Balancer不会记录交易后燃烧的STA数量。 它仅在令牌传输上保留一个选项卡。

最终，池中的STA余额下降到1 weiSTA，相当于0.000000000000000001 STA。 这导致Balancer通过自动将其他令牌（包括Ether，WBTC，LINK和SNX）的值转移到STA来重新平衡其池。

如何利用DeFi协议赚钱：一次交易即可完成????

参与今天攻击的攻击者还使用@TornadoCash为其初始钱包提供资金，这表明DeFi攻击者正在变得越来越复杂和富有创造力。 pic.twitter.com/tOX7e214tN

-安东尼·萨萨诺（Anthony Sassano）| sassal.eth ?????????（@ sassal0x）2020年6月29日

重新平衡使得其他代币的购买便宜。 黑客利用该事件将他们的STA令牌交换给其他人，最终从池中消耗了601.3 ETH（?$ 135K），11.36 WBTC（?$ 10.35万），22,593 LINK（?$ 103K）和60,915 SNX（?$ 111,000）。 总计近452,000美元。

麦当劳先生承认他们并不了解攻击的性质，但澄清说他们早些时候就警告通缩通证中存在漏洞。 同时，他确认了减轻上述风险的具体进展。

麦当劳先生说：“我们将开始将转移费令牌添加到UI黑名单中，就像我们对没有bool转移令牌所做的一样。” “请注意，这些列表并不详尽，可以在任何时候将任何新代币添加到Balancer。”

不是第一个加密漏洞利用

Balancer黑客行为标志着对开源协议的第五次同类攻击。 其中最大的抢劫案发生在2020年4月，当时黑客从dForce协议中耗费了2500万美元。 但是，攻击者出于未知原因归还了资金。

另一方面，借贷协议bZx在2020年2月连续两次遭到黑客攻击，损失了超过100万美元。

—-

原文链接：https://www.newsbtc.com/2020/06/29/hackers-steal-450k-crypto-tokens-from-balancer/?utm_source=rss&utm_medium=rss&utm_campaign=hackers-steal-450k-crypto-tokens-from-balancer

原文作者：Yashu Gola

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。