Хакеры повторно взломали протокол Balancer

Неизвестный хакер повторно атаковал пул DeFi-проекта Balancer Labs, похитив еще ~$3000 в токенах Compound (COMP) в дополнение к $500 000, выведенным 28 июня. Об этом сообщил разработчик DeFi-протокола DeBank под ником Hao.

Apparently this happened an hour ago, someone used dydx flashloan(again) and drained unclaimed COMP in several balancer pool, making 10.8 ETH profit in the process. Thread incoming. pic.twitter.com/TeJZZSSycE

— Hao (@frenzy_hao) June 29, 2020

По его словам, хакер использовал уязвимость протокола для получения прав на долю COMP в пуле. Для этого злоумышленник получил более $33 млн в качестве займа через сервисы dYdX и Uniswap. На эти деньги хакер выпустил токены cToken, которые дают владельцу права на долю токенов в пуле Compound.

First the contract flashloaned a bunch of tokens from dydx, then mint using this fund to mint cTokens. Then it used uniswap v2 to flashloaned out some COMP. The magic happened in this uniswap flashloan. It first mint some more ctokens. thread continuing.. pic.twitter.com/oX4By7S89e

— Hao (@frenzy_hao) June 29, 2020

Далее злоумышленник перевел cToken в пул Balancer для изменения системы распределения токенов COMP. За счет этого он смог вывести средства, поскольку система определила наличие у хакера прав на долю токенов. После всех этих действий он обменял похищенные COMP на ETH при выводе средств.

And finally it locked down its prize by swapping COMP for ETH in a normal Uniswap V2 trade. https://t.co/rVMoZYsK7R pic.twitter.com/381lrFlg0u

— Hao (@frenzy_hao) June 29, 2020

Hao отметил, что новая атака основана на той же уязвимости, что и взлом 28 июня. Он не исключает, что за ней стоят разные злоумышленники.

В Balancer Labs уже пообещали возместить все потери пострадавшим поставщикам ликвидности. Компания также намерена устранить проблему в ближайшее время, пообещав заплатить разработчикам «крупнейшую» bounty-награду.

After thorough discussions with the community, the Balancer Labs team decided that it will fully reimburse all the liquidity providers who lost funds in the attack of yesterday. We will also pay out the highest bug bounty available for @Hex_Capital

More details on the…

— Balancer Labs (@BalancerLabs) June 29, 2020

По данным CoinGecko, внутренний токен Balancer (BAL) опустился на 15,8% за сутки на фоне новостей о взломе. За неделю своего существования токен максимально приблизился к ценовому минимуму.

Подписывайтесь на новости ForkLog в Facebook!