La manipulation intelligente du pool de tokens déflationnistes de Balancer a permis à des pirates informatiques de voler des jetons pour une une valeur d’un demi-million de dollars
Balancer, le dernier phénomène des jetons DeFi, a subi une grave attaque, a annoncé le projet sur son blog hier. L’attaque a vu près d’un demi-million de dollars volés dans plusieurs devises différentes par une manipulation habile de ses réserves.
Les deux pools visés contenaient des jetons STA et STONK en raison de leurs frais de transfert inhérents. Pour commencer, l’attaquant a obtenu un prêt flash de dYdX de 104 000 ETH, après l’avoir converti en WETH il a commencé à négocier à plusieurs reprises dans ces pools.
En raison des frais de transfert, l’attaquant a pu vider les pools de STA. Lorsqu’il ne restait plus que très peu de STA dans le solde disponible des pools, les pirates ont lancé un « gulp call » qui synchronise le solde comptable et le solde réel de STA.
Lorsqu’ils se sont rendu compte qu’il ne restait que très peu de STA, le pool a augmenté massivement la valeur du STA pour tenir compte de ce changement. Le hacker a alors pu vendre les grandes quantités de jetons STA à une valeur fortement gonflée. Cette technique a également été utilisée pour les autres jetons restants dans le pool, tels que ETH, WBTC, LINK et SNX. Après avoir restitué le prêt flash de 104 000 ETH, l’attaquant a pu retirer les fonds à des adresses distinctes.
Balancer avait été averti du bug
Beaucoup sont en colère contre Balancer pour avoir ignoré un rapport de bug qui décrivait exactement comment ce type d’attaque pouvait être mené.
3/ I submitted this exact attack vector to Balancer Labs’ Bug Bounty program 53 days earlier on May 6. At the time, only $250 of user funds were at risk. My medium post includes my full, unedited bug bounty submission.
— Hex Capital (@Hex_Capital) June 29, 2020
Non seulement ce bug a été soumis à Balancer, mais il l’a été le 6 mai, quelque 53 jours avant l’attaque.
Hex Capital, le rapporteur du bug, déclare dans son fil Twitter qu’il est un adepte de la DeFi et qu’il est impatient de voir le secteur réussir. Cependant, selon eux, la sécurité doit être améliorée pour maintenir la confiance des gens et aussi pour maintenir la DeFi sur son impressionnant chemin de croissance.
À la décharge de Balancer, la société va rembourser tous ceux qui ont perdu de l’argent et va récompenser financièrement Hex Capital pour avoir trouvé la faille.
