Protocolo Balancer irá compensar vítimas pela invasão que resultou na perda de US$ 450 mil
Balancer, protocolo de formação de mercado baseado na Ethereum, anunciou que irá compensar usuários que perderam seus tokens em um ataque ao protocolo, associado a dois tokens deflacionários.
A operadora de protocolo também recompensará Ankur Agrawal, da Hex Capital, com “a quantia máxima” disponível em seu programa de caça a bugs (ou “bug bounty program”), já que ele foi o responsável por encontrar e relatar a falha à equipe da Balancer no dia 6 de maio.
“O relatório de caça a bugs por Agrawal descreve, em detalhes, o ataque ocorrido. Porém, nossa equipe não tinha achado que seria um ataque concreto por conta da enorme quantia de fundos e também de taxas de gás exigidas para fazer com que o saldo de um token deflacionário para quase 0 em uma única transação atômica”, afirmou a Balancer.
Anteriormente, Balancer havia se recusado a pagar pela caça a bugs porque “acharam que não era uma falha importante”, disse Agrawal ao The Block.
5/ I am publicly disclosing my bug bounty submission because I want DeFi to succeed. For this to happen, we need MORE focus on security. We need ROBUST bug bounty programs. And we need to aggressively acknowledge bugs and work to fix them BEFORE they are exploited.
— Hex Capital (@Hex_Capital) June 29, 2020
O ataque obteve vantagem do fato de que os tokens deflacionários STONK e STA cobram por taxas de transferência durante a negociação. Ao mesmo tempo, seus pools associados à Balancer não contabilizam essas taxas imediatamente.
Assim, o saldo do pool mostrará mais STONK e STA do que o número verdadeiro, dando oportunidades aos invasores de negociarem os tokens respectivamente, cobrarem taxas de transferência e, assim, zerar os dois tokens.
Quando havia poucos tokens restantes nos pools, os invasores ativaram uma função que sincronizou o saldo dos pools com o saldo verdadeiro, resultando em uma queda brusca nos fornecimentos dos tokens STONK e STA e aumentando seus preços contra outros ativos de seus pares.
Então, invasores poderiam trocá-los por esses outros tokens com uma pequena quantia de STONK e STA para sacar dinheiro.
Espera-se que a Balancer anuncie detalhes do processo de reembolso até o fim desta semana.