Balancer pierde 500 mil dólares debido a un hacker

El hacker aparte de penetrar el sistema DeFi Liquidity de Balancer hizo de las suyas con tokens como WETH, Statera (STA), WBTC, LINK y SNK, tomando en cuenta que todos los ataques fueron contra los tokens de Statera.

Evasión del protocolo de Balancer

Este lunes, Mike McDonald, CTO del proveedor de liquidez de finanzas descentralizadas (DeFi), Balancer, reseñó mediante un artículo en la plataforma Medium que había sido víctima de un ataque digital muy sofisticado mediante el cual pudieron evadir el protocolo y así tuvieron una pérdida en tokens por un valor aproximado de 500 mil dólares.

El artículo expresa:

Hoy ocurrió un incidente en Balancer que permitió a un atacante drenar fondos de 2 grupos que contenían tokens con tarifas de transferencia (a veces denominadas fichas deflacionarias). STA y STONK fueron los tokens en cada grupo. Nota: esto solo afecta a los grupos donde un token tiene estas tarifas de transferencia.

McDonald, explicó en varios puntos cómo ocurió el ataque por parte del hacker: realizó intercambios rápido de ETH desde dYdX y convertidos luego a WETH, luego intercambió WETH y STA continuamente en cantidades crecientes, en cada intercambio STA tiene una tarifa por transferencia y el pool espera recibir una cantidad sin la tarifa, después de suficientes llamadas, el atacante llama a gulp (), que sincroniza la contabilidad del pool interno de un saldo de tokens con el saldo real tal como está almacenado en el contrato del rastreador de tokens y debido a que el saldo de STA es cercano a cero, su precio en relación con los otros tokens es extremadamente alto y el atacante ahora puede usar STA para intercambiar otros activos en el grupo de manera extremadamente económica.

Sin rastro

Aún no se ha podido determinar la identidad del hacker a pesar que aparentemente le tienen un seguimiento muy adelantado y podría ser un ingeniero de smart contracts que tiene un amplio conocimiento y comprensión de todos los principales protocolos de DeFi.

Por otro lado Statera expresó “Lamentamos profundamente, nos disculpamos y expresamos sinceramente nuestras condolencias a todas las víctimas de este ataque”. Además, informaron que no están en posición disponible para reembolsar a las víctimas de este ataque.

Nuevas alternativas de Balancer

Balancer empezará a añadir nuevas medidas especificadas en el mismo artículo de Medium que son:

Comenzaremos a agregar tokens de tarifa de transferencia a la lista negra de la interfaz de usuario de manera similar a lo que hemos hecho sin tokens de transferencia bool. Tenga en cuenta que estas listas no serán exhaustivas y se pueden agregar tokens nuevos a Balancer en cualquier momento.

Agregaremos más documentación sobre los riesgos de cómo funcionan estos grupos y cómo los tokens rotos o mal diseñados pueden potencialmente drenar los activos de un grupo.

Balancer se ha sometido a 2 auditorías completas y ya tiene un tercero planificado (antes de hoy) que comenzará en breve. Continuaremos auditando y revisando el protocolo.

Para abril hubo un golpe mayor también a otro protocolo DeFi en el que fueron hackeados 25 millones de dólares, en esa oportunidad, a dForce.