Análisis del incidente de ataque del hacker a la plataforma de Finanzas descentralizadas Balancer
En la madrugada del 29 de junio, dos pools de tokens ERC20 deflacionarios de la plataforma DeFi Balancer fueron atacados por hackers, causando pérdidas superiores a los 500,000 dólares. Tras la intervención de analistas de seguridad para investigar, se descubrió que la raíz del problema radicaba en la incompatibilidad entre los tokens deflacionarios en Balancer y su contrato inteligente en ciertos escenarios específicos, lo que permitió a los atacantes crear pools de circulación de tokens con desviaciones de precios y beneficiarse de ello.
Los ataques de hackers se dividen en cuatro pasos principales:
Obtener un préstamo relámpago de 104,331 WETH de una plataforma de préstamos.
Ejecutar repetidamente el llamado swapexactMountin(), hasta que los tokens STA que posee Balancer estén casi agotados, quedando solo 0.000000000000000001 token STA.
Aprovechar la incompatibilidad entre el token STA y el contrato inteligente de Balancer, es decir, la descoincidencia entre la contabilidad y el saldo, agotando otros activos en el fondo, y obteniendo finalmente una ganancia de 523,616.52 dólares en activos digitales.
Reembolsar el préstamo relámpago y transferir los activos digitales obtenidos del ataque.
En la fase crítica del ataque, el Hacker envió una cantidad muy pequeña de STA a BPool a través de la función swapExactAmountIn(), logrando un gran valor a cambio de una gran cantidad de WETH. Debido a que la transferencia de STA quema una tarifa del 1%, en realidad BPool no puede recibir ningún STA, lo que provoca una discrepancia entre el saldo real y la contabilidad interna. Posteriormente, el atacante llamó a la función gulp() para restablecer continuamente _records[STA], manteniendo un saldo muy pequeño de STA en BPool, permitiendo así el intercambio continuo de otros activos a un precio alto.
Este incidente expone nuevamente los riesgos de compatibilidad que existen en la combinabilidad de las Finanzas descentralizadas. Para prevenir ataques similares, se pueden considerar las siguientes optimizaciones:
Cuando el monto de la transferencia no es suficiente para cubrir la tarifa, STA/STONK debe revertir directamente o devolver False al ejecutar transfer() o transferFrom().
Balancer debe verificar el saldo real de BPool después de cada llamada a la función transferFrom().
Sin embargo, la mejor solución sigue siendo la prevención anticipada. Los desarrolladores de proyectos de Finanzas descentralizadas deben adoptar buenas normas de codificación, buscar la asistencia de empresas de seguridad de terceros para realizar pruebas completas de ataque y defensa, y llevar a cabo una revisión exhaustiva de los diversos estándares de tokens y el comportamiento combinado de los proyectos de Finanzas descentralizadas.
Las pérdidas específicas causadas por el ataque a Balancer incluyen:
601,3 WETH
11,031.4 SNX
22,593.2 LINK
116,107.8 STA
53.4 COMP
Activos digitales con una pérdida total de aproximadamente 523,616.52 dólares.
Este evento sin duda tendrá un impacto importante en la comunidad de Finanzas descentralizadas, y también advierte a todos los desarrolladores de proyectos de Finanzas descentralizadas que deben prestar especial atención a la seguridad de los contratos inteligentes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Balancer sufrió un ataque de 500,000 dólares por un Hacker, la vulnerabilidad del contrato DeFi vuelve a sonar la alarma.
Análisis del incidente de ataque del hacker a la plataforma de Finanzas descentralizadas Balancer
En la madrugada del 29 de junio, dos pools de tokens ERC20 deflacionarios de la plataforma DeFi Balancer fueron atacados por hackers, causando pérdidas superiores a los 500,000 dólares. Tras la intervención de analistas de seguridad para investigar, se descubrió que la raíz del problema radicaba en la incompatibilidad entre los tokens deflacionarios en Balancer y su contrato inteligente en ciertos escenarios específicos, lo que permitió a los atacantes crear pools de circulación de tokens con desviaciones de precios y beneficiarse de ello.
Los ataques de hackers se dividen en cuatro pasos principales:
Obtener un préstamo relámpago de 104,331 WETH de una plataforma de préstamos.
Ejecutar repetidamente el llamado swapexactMountin(), hasta que los tokens STA que posee Balancer estén casi agotados, quedando solo 0.000000000000000001 token STA.
Aprovechar la incompatibilidad entre el token STA y el contrato inteligente de Balancer, es decir, la descoincidencia entre la contabilidad y el saldo, agotando otros activos en el fondo, y obteniendo finalmente una ganancia de 523,616.52 dólares en activos digitales.
Reembolsar el préstamo relámpago y transferir los activos digitales obtenidos del ataque.
En la fase crítica del ataque, el Hacker envió una cantidad muy pequeña de STA a BPool a través de la función swapExactAmountIn(), logrando un gran valor a cambio de una gran cantidad de WETH. Debido a que la transferencia de STA quema una tarifa del 1%, en realidad BPool no puede recibir ningún STA, lo que provoca una discrepancia entre el saldo real y la contabilidad interna. Posteriormente, el atacante llamó a la función gulp() para restablecer continuamente _records[STA], manteniendo un saldo muy pequeño de STA en BPool, permitiendo así el intercambio continuo de otros activos a un precio alto.
Este incidente expone nuevamente los riesgos de compatibilidad que existen en la combinabilidad de las Finanzas descentralizadas. Para prevenir ataques similares, se pueden considerar las siguientes optimizaciones:
Cuando el monto de la transferencia no es suficiente para cubrir la tarifa, STA/STONK debe revertir directamente o devolver False al ejecutar transfer() o transferFrom().
Balancer debe verificar el saldo real de BPool después de cada llamada a la función transferFrom().
Sin embargo, la mejor solución sigue siendo la prevención anticipada. Los desarrolladores de proyectos de Finanzas descentralizadas deben adoptar buenas normas de codificación, buscar la asistencia de empresas de seguridad de terceros para realizar pruebas completas de ataque y defensa, y llevar a cabo una revisión exhaustiva de los diversos estándares de tokens y el comportamiento combinado de los proyectos de Finanzas descentralizadas.
Las pérdidas específicas causadas por el ataque a Balancer incluyen:
Activos digitales con una pérdida total de aproximadamente 523,616.52 dólares.
Este evento sin duda tendrá un impacto importante en la comunidad de Finanzas descentralizadas, y también advierte a todos los desarrolladores de proyectos de Finanzas descentralizadas que deben prestar especial atención a la seguridad de los contratos inteligentes.