Análise do incidente de ataque do Hacker à plataforma de Finanças Descentralizadas Balancer
Na madrugada de 29 de junho, dois pools de tokens ERC20 deflacionários da plataforma DeFi Balancer foram alvo de um ataque hacker, resultando em perdas superiores a 500 mil dólares. Após a intervenção de analistas de segurança para investigar, descobriu-se que a raiz do problema estava na incompatibilidade entre os tokens deflacionários da Balancer e seu contrato inteligente em determinados cenários, permitindo que os atacantes criassem pools de circulação de tokens com desvios de preços e lucrassem com isso.
Hacker ataque é dividido em quatro etapas principais:
Obter um empréstimo relâmpago de 104.331 WETH de uma plataforma de empréstimo.
Executar repetidamente a chamada swapexactMountin(), até que o Balancer possua quase todos os tokens STA, restando apenas 0.000000000000000001 STA.
Aproveitando a incompatibilidade entre o token STA e o contrato inteligente Balancer, ou seja, a discrepância entre a contabilidade e o saldo, esgotando os outros ativos no fundo, obtendo assim um lucro de 523,616.52 dólares em ativos digitais.
Reembolsar o empréstimo relâmpago e transferir os ativos digitais obtidos com o ataque.
Na fase crítica do ataque, o Hacker enviou uma quantidade muito pequena de STA para o BPool através da função swapExactAmountIn(), trocando-a por uma grande quantidade de WETH a um valor muito alto. Como a transferência de STA queima uma taxa de 1%, na verdade o BPool não consegue receber nenhum STA, levando a uma discrepância entre o saldo real e a contabilidade interna. O atacante, em seguida, chamou a função gulp() para redefinir continuamente _records[STA], mantendo um saldo muito pequeno de STA no BPool, permitindo assim a troca contínua de outros ativos a um preço elevado.
Este evento expôs novamente os riscos de compatibilidade existentes na combinabilidade das Finanças Descentralizadas. Para prevenir ataques semelhantes, podem ser consideradas as seguintes soluções de otimização:
Quando o montante da transferência for insuficiente para pagar a taxa, o STA/STONK deverá reverter diretamente ou retornar False ao executar transfer() ou transferFrom().
O Balancer deve verificar o saldo real do BPool após cada chamada da função transferFrom().
No entanto, a melhor solução continua a ser a prevenção antecipada. Os desenvolvedores de projetos DeFi devem adotar boas normas de codificação, procurar a assistência de empresas de segurança de terceiros para realizar testes de ataque e defesa abrangentes, e realizar uma verificação minuciosa dos vários padrões de tokens e comportamentos de combinação de projetos DeFi.
Os danos específicos causados pelo ataque ao Balancer incluem:
601.3 WETH
11,031.4 SNX
22,593.2 LINK
116,107.8 STA
53.4 COMP
Perda total de aproximadamente 523,616.52 dólares em ativos digitais.
Este evento sem dúvida terá um impacto significativo na comunidade DeFi, e também alerta todos os desenvolvedores de projetos DeFi para que deem grande importância à segurança dos contratos inteligentes.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Balancer sofreu um ataque hacker de 500 mil dólares, a vulnerabilidade do contrato DeFi acende novamente o alerta
Análise do incidente de ataque do Hacker à plataforma de Finanças Descentralizadas Balancer
Na madrugada de 29 de junho, dois pools de tokens ERC20 deflacionários da plataforma DeFi Balancer foram alvo de um ataque hacker, resultando em perdas superiores a 500 mil dólares. Após a intervenção de analistas de segurança para investigar, descobriu-se que a raiz do problema estava na incompatibilidade entre os tokens deflacionários da Balancer e seu contrato inteligente em determinados cenários, permitindo que os atacantes criassem pools de circulação de tokens com desvios de preços e lucrassem com isso.
Hacker ataque é dividido em quatro etapas principais:
Obter um empréstimo relâmpago de 104.331 WETH de uma plataforma de empréstimo.
Executar repetidamente a chamada swapexactMountin(), até que o Balancer possua quase todos os tokens STA, restando apenas 0.000000000000000001 STA.
Aproveitando a incompatibilidade entre o token STA e o contrato inteligente Balancer, ou seja, a discrepância entre a contabilidade e o saldo, esgotando os outros ativos no fundo, obtendo assim um lucro de 523,616.52 dólares em ativos digitais.
Reembolsar o empréstimo relâmpago e transferir os ativos digitais obtidos com o ataque.
Na fase crítica do ataque, o Hacker enviou uma quantidade muito pequena de STA para o BPool através da função swapExactAmountIn(), trocando-a por uma grande quantidade de WETH a um valor muito alto. Como a transferência de STA queima uma taxa de 1%, na verdade o BPool não consegue receber nenhum STA, levando a uma discrepância entre o saldo real e a contabilidade interna. O atacante, em seguida, chamou a função gulp() para redefinir continuamente _records[STA], mantendo um saldo muito pequeno de STA no BPool, permitindo assim a troca contínua de outros ativos a um preço elevado.
Este evento expôs novamente os riscos de compatibilidade existentes na combinabilidade das Finanças Descentralizadas. Para prevenir ataques semelhantes, podem ser consideradas as seguintes soluções de otimização:
Quando o montante da transferência for insuficiente para pagar a taxa, o STA/STONK deverá reverter diretamente ou retornar False ao executar transfer() ou transferFrom().
O Balancer deve verificar o saldo real do BPool após cada chamada da função transferFrom().
No entanto, a melhor solução continua a ser a prevenção antecipada. Os desenvolvedores de projetos DeFi devem adotar boas normas de codificação, procurar a assistência de empresas de segurança de terceiros para realizar testes de ataque e defesa abrangentes, e realizar uma verificação minuciosa dos vários padrões de tokens e comportamentos de combinação de projetos DeFi.
Os danos específicos causados pelo ataque ao Balancer incluem:
Perda total de aproximadamente 523,616.52 dólares em ativos digitais.
Este evento sem dúvida terá um impacto significativo na comunidade DeFi, e também alerta todos os desenvolvedores de projetos DeFi para que deem grande importância à segurança dos contratos inteligentes.