Atacante extrae casi medio millón de dólares de dos fondos de balance

Ayer, 28 de junio, un atacante desconocido robó casi medio millón ($450,000 dólares) de dos fondos de Balancer. Ambos fondos admitían múltiples tokens, pero se centraban en tokens deflacionarias, según los informes.

Los detalles sobre el ataque

El ataque se dividió en dos transacciones, que tuvieron lugar a unos 50 minutos una de otra. La primera comenzó a las 6.03 pm, mientras que la segunda tuvo lugar a las 6:49 pm.

La hazaña sólo afectó a los fondos que contenían STONK y STA - tokens deflacionarios con tasas de transferencia.

El atacante hizo un gran viaje, consiguiendo un préstamo de $23 millones de dólares de ETH, que luego se convirtió en WETH. Luego, usaron WETH para obtener STA, repitiendo esto 24 veces.

Como resultado, el atacante logró sacar todo el balance de STA, llevándolo a una tasa de transacción del 1%, o 0.000000000000000001 STA.

Con el saldo tan cerca de cero, el atacante fue capaz de cambiarlo por otros activos a un precio muy bajo. En total, el atacante logró sacar:

El atacante sabía lo que estaban haciendo

Según un informe de los hechos publicado por 1inch, el atacante tenía un amplio conocimiento y comprensión de cómo funcionan los principales protocolos de DeFi. Es probable que sea un ingeniero contratado muy sofisticado e inteligente.

El atacante también sabía cómo cubrir sus huellas usando un mezclador conocido como Tornado Cash para ocultar el origen del Ethereum utilizado para el despliegue de los contratos.

En cuanto a Balancer, comentó el movimiento, afirmando que no era consciente de este tipo de ataque, o que incluso era posible. Sin embargo, también advirtió sobre los tokens deflacionarios con las tasas de transferencia, afirmando que hay efectos no deseados.

No sólo eso, sino que dijo que empezará a añadir tales tokens a la lista negra de la UI. El protocolo también ya pasó por dos auditorías, y se supone que tendrá una tercera pronto.

Sin embargo, Balancer está lejos de ser el único afectado por tales ataques. De hecho, este es el quinto ataque de alto perfil cuando se trata de protocolos de finanzas abiertas. Originalmente comenzaron en febrero, cuando dos de ellos ocurrieron el mismo día - el 15 de febrero. En aquel entonces, el atacante logró sacar más de un millón de dólares de un protocolo de préstamo bZx.

Entonces, el protocolo dForce perdió hasta $25 millones de dólares en abril. Sin embargo, el atacante de repente cambió de opinión, y simplemente devolvieron los fondos sin razón aparente.