DeFI - Decentralized Finance

Pool token giảm phát của giao thức DeFi Balancer bị đánh cắp $450,000 

Tris 29/06/2020

Follow Tiendientu on Telegram

tiendientu-header Hai pool token của Balancer, một giao thức tạo lập thị trường tự động, đã bị rút khoảng $450,000 vào ngày 29 tháng 6 trong một vụ tấn công nhắm đến các pool token giảm phát. 

giao-thuc-defi-balancer-bi-danh-cap-450000

Hacker đã thực hiện hai giao dịch riêng rẽ. Một giao dịch diễn ra vào lúc 18:03 và một giao dịch sau đó khoảng 30 phút. Hai pool token giảm phát là STA, STONK, cùng với phí chuyển tiền đã bị lợi dụng trong vụ tấn công này.

Hacker chiếm được khoảng 23 triệu đô la tiền ETH từ việc mượn nhanh (flash loan) ETH từ sàn dYdX, chuyển đổi thành WETH và bắt đầu hoán đổi (swap) thành STA – chúng lặp lại 24 lần. Với cách này, hacker có thể rút sạch số dư trong pool về 0.000000000000000001 STA vì phí giao dịch 1% đã được trừ trên mỗi giao dịch. Số dư STA gần bằng không, cho phép hacker swap STA với các tài sản khác trong pool với phí rất rẻ.

Hacker đã rút cạn 601,3 ETH (~ $ 134,8k), 11,36 WBTC (~ $ 103,5k), 22,593 LINK (~ $ 102,8k) và 60.915 SNX (~ $ 110,9k). Tổng cộng, hacker đã chiếm được khối tài sản trị giá khoảng $452.000.

Hacker là các lập trình viên “tài ba”

DEX Aggregator 1inch cho biết, hacker rất có thể là các kỹ sư hợp đồng thông minh rất tinh vi, có kiến ​​thức và hiểu biết sâu rộng về các giao thức DeFi hàng đầu. ETH được sử dụng để triển khai các hợp đồng thông minh đã được trộn lẫn qua Tornado Cash để che giấu nguồn gốc.

Balancer đã không nhận ra cách thức tấn công chi tiết này. Nhưng giao thức cho biết họ đã từng cảnh báo về các sự cố ngoài ý muốn của các token giảm phát với phí chuyển tiền. Hiện tại, Balancer đã tiến hành hai cuộc kiểm toán đầy đủ và đã có kế hoạch cho lần thứ ba.

Đây không phải là cuộc tấn công cấp cao đầu tiên vào các giao thức Tài chính phi tập trung. Hai cuộc tấn công đầu tiên xảy ra vào ngày 15 tháng 2 trên giao thức cho vay bZx với tổn thất hơn 1 triệu đô la.

Vào tháng 4, giao thức dForce đã bị rút 25 triệu đô la nhưng may mắn là toàn bộ số tiền đã được hacker hoàn trả.

Follow Tiendientu on Telegram