Hacker rouba US$ 450 mil em tokens do protocolo Balancer no último fim de semana
Dois pools multitokens no Balancer, protocolo automatizado de formação de mercado, perderam cerca de US$ 450 mil nesse domingo (28) devido a uma invasão; o hacker desejava atacar pools específicos que contêm os chamados tokens deflacionários.
O hacker realizou o ataque em duas transações distintas: uma aconteceu às 15h03 (horário de Brasília); a outra, às 15h49. Apenas pools com STA e STONK, tokens deflacionários com taxas de transferência, foram afetados por essa invasão.
O invasor obteve um empréstimo-relâmpago (ou “flash loan”) de US$ 23 milhões em ether da corretora dYdX, converteu-os em wETH para STA 24 vezes.
Isso permitiu que o hacker zerasse o saldo de STA no pool até 0,000000000000000001 STA conforme 1% de taxas de transação foi subtraído em cada negociação. O saldo de STA estava próximo a zero, permitindo que o invasor trocasse o token por outros ativos no pool por um preço muito barato.
O invasor pegou 601.3 ETH (US$ 134,8 mil), 11,36 wBTC (US$ 103,5 mil), 22.593 LINK (US$ 102,8 mil) e 60.915 SNX (US$ 110,9 mil). No total, o invasor teve acesso a cerca de US$ 452 mil.
1inch, agregadora de corretoras descentralizadas, afirmou em um comunicado que o invasor era um “engenheiro de contratos autônomos muito sofisticado, com conhecimento e compreensão extensos dos principais protocolos DeFi”.
Ethers usados para aplicar contratos autônomos foram misturados usando a ferramenta Tornado Cash para esconder a fonte.
Balancer disse que não sabia que esse tipo específico de invasão era possível, mas havia alertado sobre os efeitos indesejados de tokens deflacionários com taxas de transferência.
Começou a acrescentar tokens deflacionários à lista de rejeição da interface de usuários (UI) da mesma forma que já haviam feito com tokens de transferência sem valor booleano (verdadeiro ou falso). O protocolo acrescentou que já passou por duas auditorias completas e que já planejaram uma terceira.
Esse foi a quinta invasão de alto nível nos protocolos de Finanças Abertas (ou DeFi). As duas primeiras aconteceram no dia 15 de fevereiro, quando invasores roubaram mais de US$ 1 milhão do protocolo de empréstimos bZx.
Em abril, o protocolo dForce teve US$ 25 milhões roubados, mas a quantia total foi devolvida pelo invasor por motivos ainda desconhecidos.
Empréstimos-relâmpago
em invasões ao protocolo bZx
levantam críticas ao setor DeFi