Nuovo attacco hack ad un protocollo DeFi. Si tratta di Balancer, il quale ha subito informato gli utenti dell’attacco in corso.
On the incident with non-standard ERC20 deflationary tokens today.https://t.co/xgYxBTDVvK
— Balancer (@Balancer) June 29, 2020
Per coloro che non conoscessero questo progetto, spieghiamo subito che si tratta di un protocollo per la gestione dei fondi in maniera non-custodial, di un liquidity provider e price sensor, ed il suo punto forte è la Balancer Pool che è un AMM (Automated Market Maker) che permette di gestire il portfolio, la pool, ed il prezzo del token.
Infatti Balancer Pool permette di ricevere fee da coloro che fanno parte della stessa pool sfruttando le opportunità di arbitraggio. Il protocollo era andato in mainnet solo la scorsa settimana.
Da quanto possiamo apprendere dal comunicato ufficiale di Balancer, l’attacco è avvenuto contro 2 pool che contenevano 2 token diversi, Statera (STA) e Stonk.
Queste pool sono state prosciugate: parliamo di oltre mezzo milione di dollari.
L’hack è stato fatto con una tecnica interessante e, prima di sferrare l’attacco, ha utilizzato Tornado Cash così da non permettere di risalire alla provenienza dei fondi.
Questa la storia dell’hack:
- Prestito Flash ETH da dYdX e conversione in WETH
- Scambi continui di WETH & STA in quantità sempre maggiori
- Per ogni operazione, STA ha una commissione di trasferimento e il pool si aspetta di ricevere un saldo senza la commissione.
- Dopo un numero sufficiente di richieste, l’hacker invoca gulp() che sincronizza la contabilità interna del pool di un saldo di token con il saldo effettivo memorizzato nel contratto token tracker.
- Poiché il saldo di STA è vicino allo zero, il suo prezzo rispetto agli altri token è estremamente elevato e l’aggressore può ora utilizzare STA per swappare con altri asset del pool a costi estremamente contenuti
Balancer ha comunicato che, anche se ovviamente non era stata prevista una cosa del genere, il team aveva preso in considerazione l’ipotesi che questi tipi di token avrebbero creato dei problemi ed infatti non sono stati messi nella recente mining pool di BAL.
Adesso Balancer aggiungerà gli address coinvolti nell’hack in una blacklist e fornirà agli utenti maggiore documentazione sui possibili rischi che questi token comportano. Infatti, non è tanto il protocollo a non essere sicuro ma come sono stati progettati questi token. Inoltre, il team programmerà un terzo audit del protocollo.
Hack al protocollo Defi di Balancer. Di chi è la colpa?
A detta di diversi utenti che hanno commentato la notizia, Balancer sarebbe colpevole perché il bug non solo è stato ignorato, ma non è stato nemmeno pagato quanto dovuto per il programma bounty per la scoperta di eventuali errori.
Questa tesi è stata confermata dallo stesso co-fondatore e CTO di Balancer, Mike McDonald, che si è giustificato dicendo che non erano ancora disponibili i flash lend.
Per quanto possa essere un settore innovativo, la finanza decentralizzata (DeFi) ha subito ancora una volta un attacco che ha comportato una perdita enorme di fondi.
I token coinvolti hanno subito una riduzione del prezzo: del 75% STA e del 98% per quanto riguarda STONK.