È stata scoperta una vulnerabilità di Bancor, protocollo di liquidità onchain sia per Ethereum che per EOS. La falla si trova nel nuovo smart contract v0.6 che era stato rilasciato pochi giorni fa.
Last night at 12:00AM GMT, a vulnerability was discovered in a new version of the BancorNetwork v0.6 smart contract deployed on June 16 2020.
All user funds are safe.
We have deployed a new version of the BancorNetwork contract that fixes the vulnerability.
— Bancor (@Bancor) June 18, 2020
Il protocollo di Bancor permette di gestire ed integrare la liquidità delle blockchain di Ethereum e di EOS, in modo che ogni token possa avere la sua liquidità e creare la propria liquidity pool senza problemi.
Questo sistema di pool però ha qualche piccolo svantaggio in quanto potrebbe comportare una perdita a causa di uno sbilanciamento tra un token e un altro e quindi risulta sconveniente per un utente dato che spenderebbe troppo per ribilanciare la pool.
Per risolvere questo tipo di problema, chiamato impermanent loss, Bancor si è messa al lavoro e con Chainlink ha sviluppato un nuovo sistema che permetta di aggiustare i prezzi grazie a questo tipo di oracolo e così limitare l’esposizione ad un solo token.
Ovviamente un sistema del genere deve essere testato ed infatti sono oltre 2 mesi che Bancor sta facendo dei test per Bancor v2, che dovrebbe arrivare il mese prossimo.
Ma, prima di rilasciare questo aggiornamento, Bancor aveva rilasciato Bancor Network v0.6, pochi giorni fa per preparare le basi per il nuovo sistema.
A questo punto, dopo vari test, il nuovo smart contract era stato attivato un paio di giorni fa, il 16 giugno, ma nelle ultime ore il team ha rilevato una vulnerabilità (si vocifera una safeTansferFrom non autenticata) all’interno del sistema che avrebbe permesso di rubare tutti i fondi.
I fondi comunque sono al sicuro e nessuno ha perso nulla, almeno questo è quanto affermato sui diversi social di Bancor, che ha fornito anche una procedura per controllare se il wallet sia stato coinvolto nella vulnerabilità.
Tutti coloro che hanno interagito con questi smart contract possono usare questo sito per controllare.
Cosa fare in caso di vulnerabilità
Se uno di questi smart contract viene individuato in quanto ha interagito con il vostro wallet bisogna premere il pulsante viola “Decline for Contract” e confermare la transazione.
Successivamente bisogna andare alla pagina di supporto di Bancor ed aprire una segnalazione fornendo il proprio indirizzo, così da poter effettuare il trasferimento dei fondi al legittimo proprietario.
Insomma, il team pare che sia intervenuto tempestivamente e nessuno ha perso fondi, almeno per il momento.