CryptoTimes

Hacker rouba US$ 450 mil em tokens do protocolo Balancer no último fim de semana

29 jun 2020, 8:16 - atualizado em 22 mar 2021, 16:05
Uma semana após lançar seu token de governança, Balancer se torna o protocolo mais recente a ser invadido por um hacker espertinho; isso afetará o desempenho de seu novo token? (Imagem: Crypto Times)

Dois pools multitokens no Balancer, protocolo automatizado de formação de mercado, perderam cerca de US$ 450 mil nesse domingo (28) devido a uma invasão; o hacker desejava atacar pools específicos que contêm os chamados tokens deflacionários.

O hacker realizou o ataque em duas transações distintas: uma aconteceu às 15h03 (horário de Brasília); a outra, às 15h49. Apenas pools com STA e STONK, tokens deflacionários com taxas de transferência, foram afetados por essa invasão.

O invasor obteve um empréstimo-relâmpago (ou “flash loan”) de US$ 23 milhões em ether da corretora dYdX, converteu-os em wETH para STA 24 vezes.

Isso permitiu que o hacker zerasse o saldo de STA no pool até 0,000000000000000001 STA conforme 1% de taxas de transação foi subtraído em cada negociação. O saldo de STA estava próximo a zero, permitindo que o invasor trocasse o token por outros ativos no pool por um preço muito barato.

O invasor pegou 601.3 ETH (US$ 134,8 mil), 11,36 wBTC (US$ 103,5 mil), 22.593 LINK (US$ 102,8 mil) e 60.915 SNX (US$ 110,9 mil). No total, o invasor teve acesso a cerca de US$ 452 mil.

1inch, agregadora de corretoras descentralizadas, afirmou em um comunicado que o invasor era um “engenheiro de contratos autônomos muito sofisticado, com conhecimento e compreensão extensos dos principais protocolos DeFi”.

Ethers usados para aplicar contratos autônomos foram misturados usando a ferramenta Tornado Cash para esconder a fonte.

Balancer disse que não sabia que esse tipo específico de invasão era possível, mas havia alertado sobre os efeitos indesejados de tokens deflacionários com taxas de transferência.

Começou a acrescentar tokens deflacionários à lista de rejeição da interface de usuários (UI) da mesma forma que já haviam feito com tokens de transferência sem valor booleano (verdadeiro ou falso). O protocolo acrescentou que já passou por duas auditorias completas e que já planejaram uma terceira.

Esse foi a quinta invasão de alto nível nos protocolos de Finanças Abertas (ou DeFi). As duas primeiras aconteceram no dia 15 de fevereiro, quando invasores roubaram mais de US$ 1 milhão do protocolo de empréstimos bZx.

Em abril, o protocolo dForce teve US$ 25 milhões roubados, mas a quantia total foi devolvida pelo invasor por motivos ainda desconhecidos.

Empréstimos-relâmpago
em invasões ao protocolo bZx
levantam críticas ao setor DeFi