«Похоже, кто-то опустошил пул Balancer, работающий с WETH и STA, и вывел токены WETH на сумму $500 000», – сообщил в социальной сети Twitter исследователь Стивен Чжэн (Steven Zheng).
Чуть позднее факт атаки подтвердил и сооснователь Balancer Labs Майк Макдональд (Mike McDonald). По его словам, принцип данной атаки заключается в использовании дефляционных токенов вроде STA, часть которых сжигается при проведении транзакции.
Злоумышленник получил мгновенный займ на площадке dYdX в размере 104 331 WETH ($23.3 млн). Затем он обменивал токены WETH на STA и обратно 24 раза подряд. Поскольку каждый раз при проведении транзакции с STA Balancer получал на 1% меньше токенов, пул оказался опустошен. Это привело к росту курса STA и злоумышленник, обменяв свои токены на WETH, оказался в плюсе на $500 000.
Для вывода средств хакер использовал миксер Tornado Cash, так что установить его личность невозможно. Однако, скорее всего, речь идет о человеке, достаточно хорошо знакомом с архитектурой и уязвимостями смарт-контрактов в области децентрализованного финансирования.
Макдональд отметил, что компания будет добавлять инфляционные токены в черный список, чтобы подобные атаки не случились в будущем. Также Balancer Labs лучше опишет риски работы с пулами, особенно когда идет обмен с «плохо продуманными» токенами.
В начале июня сообщалось, что общая капитализация рынков децентрализованного финансирования превысила $2 млрд. Однако, менее, чем за месяц капитализация отрасли выросла втрое и сейчас, по данным сервиса DeFi Market Cap, составляет более $6 млрд.