Команда, стоящая за протоколом Balancer, опубликовала в среду предварительный отчет, в котором подробно описаны причины возникновения уязвимости, в результате которой было украдено $116 миллионов.
Согласно отчету, в понедельник Balancer подвергся атаке сложного кода, нацеленного на пулы Balancer v2 Stable Pools и Composable Stable v5, в то время как все остальные типы пулов остались незатронутыми.
Хакер использовал комбинацию BatchSwaps, которая позволяет пользователю объединять несколько действий в одну транзакцию, включая flashloans — краткосрочные займы, взятые и погашенные в рамках одной транзакции, — а также эксплойт функции округления в сторону увеличения, которая влияет на свопы EXACT_OUT в стабильных пулах.
Функция округления предназначена для округления в меньшую сторону, когда в качестве входных данных используются цены токенов. Однако хакер смог манипулировать этими значениями округления и, используя функцию BatchSwap, слил средства из стабильных пулов. Команда написала:
«Во многих случаях использованные средства оставались в хранилище в качестве внутренних балансов, прежде чем были сняты в ходе последующих транзакций».
Взлом служит напоминанием о том, что горячие кошельки, пулы ликвидности и ончейн-фонды, доступные через Интернет, уязвимы для новых угроз кибербезопасности со стороны хакеров, что побуждает пользователей криптовалют и разработчиков блокчейнов проявлять осторожность при защите средств.
Balancer отреагировал на взлом
Как сообщалось ранее, хакеры, скорее всего, были опытными профессионалами, которые готовились месяцами, прежде чем осуществить свою атаку, используя серию депозитов по 0,1 ETH через Tornado Cash для финансирования атаки и избежания обнаружения.
Balancer сотрудничал с партнерами по кибербезопасности и криптопротоколами, чтобы вернуть или заморозить часть украденных средств, включая 5041 StakeWise Staked ETH (osETH) на сумму около $19 миллионов и 13 495 токенов osGNO на сумму до $2 миллионов.
Команда приостановила работу всех затронутых пулов и отключила создание новых «уязвимых» пулов до тех пор, пока проблема безопасности не будет устранена.
Balancer предложил этичным хакерам и злоумышленнику вознаграждение в размере 20% за возврат украденных средств, но на момент написания статьи никто так и не воспользовался вознаграждением.
Читайте также:
