En dos transacciones separadas, un atacante tuvo como objetivo dos pools que contenían tokens basados en Ethereum con comisiones por transferencia llamados tokens deflacionarios.

Los pools con tokens STA y STONK fueron afectados por esta brecha de seguridad, informó Balancer, un protocolo de creación de mercado automatizado, el 29 de junio.

El hacker se hizo con 601 ethers, 11 wrapped bitcoins (WBTC), 22.600 chainlinks (LINK) y 61.000 synthetixs (SNX) aproximadamente, lo que da un total de más de $451.000.

Según un análisis del agregador de DEX 1inch.exchange, el atacante utilizó un contrato inteligente para automatizar múltiples acciones en una sola transacción. Primero, el hacker obtuvo un préstamo instantáneo de 23 millones de dólares en ethereum de la plataforma de préstamos en criptoactivos Dydx.

El dinero fue utilizado para intercambiar weth a statera (STA), uno de los llamados tokens deflacionarios, de ida y vuelta 24 veces hasta que el saldo en STA fue totalmente vaciado. Con STA, al menos 1% de los tokens están programados para quemarse con cada transacción. 

Sin embargo, el pool Balancer aparentemente falló en contabilizar este mecanismo. Por eso, el saldo en STA descendió en 1% cada vez que el atacante hacía cada uno de los 24 intercambios. Luego de esto, el hacker intercambió 1 weista, o el equivalente de la milmillonésima parte de un token, a weth varias veces.

Debido a la implementación de comisiones por transferencia del token STA, el pool nunca recibió statera, pero aún así procedió a liberar los wrapped ether de todas manera, comentó 1inch. Se repitió el mismo procedimiento para robar los fondos en WBTC, SNX, y el token link, agregó.

Finalmente, el atacante pagó el préstamo de 23 millones de dólares a Dydx. Más tarde, se convirtieron los STA a los tokens de Balancer y posteriormente a ethereum mediante Uniswap, los cuales fueron retirados después. 

El “sofisticado”atacante y medidas para evitar futuros hackeos

1inch señaló que el ataque fue realizado por un “sofisticado ingeniero en contratos inteligentes” quién tenía conocimientos profundos acerca de las finanzas descentralizadas y sus protocolos.

Balancer expresó que “no estábamos conscientes de que este tipo específico de ataque era posible, [pero] hemos advertido continuamente acerca de los efectos no deseados que las comisiones por transferencia podrían tener en el protocolo”.

Para prevenir ataques futuros, la plataforma dijo que comenzaría a agregar “tokens de comisión de transferencia a la lista negra de UI, parecido a lo que hemos hecho por los tokens de transferencia no booleanos”.

“Estaremos agregando más documentación acerca de los riesgos del funcionamientos de estos pools y cómo los tokens con diseño malicioso pueden potencialmente vaciar los activos de un pool”, agregaron.

Un buen número de plataforma de finanzas descentralizadas (DeFi) han sido hackeados este año. En febrero, el protocolo bZx fue atacado dos veces mientras que Maker perdió 8,3 millones de dólares en marzo. Uniswap y dForce fueron hackeados por $300.000 y $25.000.000 respectivamente, aunque el monto robado a dForce fue devuelto por el hacker en abril.

¿Qué piensas del hackeo a Balancer? Comparte con nosotros tu opinión en la sección de comentarios.

Artículo original escrito por Jeffrey Gogo para News.bitcoin.com

Traducido por Carlos Hernández-Bitter para Pandanoticias.xyz.

Comentarios

Comentarios