Nuovo attacco hack alla DeFi
Nuovo attacco hack alla DeFi
Sicurezza

Nuovo attacco hack alla DeFi

By Alfredo de Candia - 29 Giu 2020

Chevron down

Nuovo attacco hack ad un protocollo DeFi. Si tratta di Balancer, il quale ha subito informato gli utenti dell’attacco in corso. 

Per coloro che non conoscessero questo progetto, spieghiamo subito che si tratta di un protocollo per la gestione dei fondi in maniera non-custodial, di un liquidity provider e price sensor, ed il suo punto forte è la Balancer Pool che è un AMM (Automated Market Maker) che permette di gestire il portfolio, la pool, ed il prezzo del token.

Infatti Balancer Pool permette di ricevere fee da coloro che fanno parte della stessa pool sfruttando le opportunità di arbitraggio. Il protocollo era andato in mainnet solo la scorsa settimana. 

Da quanto possiamo apprendere dal comunicato ufficiale di Balancer, l’attacco è avvenuto contro 2 pool che contenevano 2 token diversi, Statera (STA) e Stonk

Queste pool sono state prosciugate: parliamo di oltre mezzo milione di dollari.

L’hack è stato fatto con una tecnica interessante e, prima di sferrare l’attacco, ha utilizzato Tornado Cash così da non permettere di risalire alla provenienza dei fondi.

Questa la storia dell’hack:

  • Prestito Flash ETH da dYdX e conversione in WETH
  • Scambi continui di WETH & STA in quantità sempre maggiori
  • Per ogni operazione, STA ha una commissione di trasferimento e il pool si aspetta di ricevere un saldo senza la commissione.
  • Dopo un numero sufficiente di richieste, l’hacker invoca gulp() che sincronizza la contabilità interna del pool di un saldo di token con il saldo effettivo memorizzato nel contratto token tracker.
  • Poiché il saldo di STA è vicino allo zero, il suo prezzo rispetto agli altri token è estremamente elevato e l’aggressore può ora utilizzare STA per swappare con altri asset del pool a costi estremamente contenuti

Balancer ha comunicato che, anche se ovviamente non era stata prevista una cosa del genere, il team aveva preso in considerazione l’ipotesi che questi tipi di token avrebbero creato dei problemi ed infatti non sono stati messi nella recente mining pool di BAL. 

Adesso Balancer aggiungerà gli address coinvolti nell’hack in una blacklist e fornirà agli utenti maggiore documentazione sui possibili rischi che questi token comportano. Infatti, non è tanto il protocollo a non essere sicuro ma come sono stati progettati questi token. Inoltre, il team programmerà un terzo audit del protocollo. 

Hack al protocollo Defi di Balancer. Di chi è la colpa? 

A detta di diversi utenti che hanno commentato la notizia, Balancer sarebbe colpevole perché il bug non solo è stato ignorato, ma non è stato nemmeno pagato quanto dovuto per il programma bounty per la scoperta di eventuali errori.

Questa tesi è stata confermata dallo stesso co-fondatore e CTO di Balancer, Mike McDonald, che si è giustificato dicendo che non erano ancora disponibili i flash lend.

 Per quanto possa essere un settore innovativo, la finanza decentralizzata (DeFi) ha subito ancora una volta un attacco che ha comportato una perdita enorme di fondi.

I token coinvolti hanno subito una riduzione del prezzo: del 75% STA e del 98% per quanto riguarda STONK.

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.