Rejoignez-Nous sur

DeFi Balancer a fait une grave erreur, maintenant ils paient des utilisateurs

News

DeFi Balancer a fait une grave erreur, maintenant ils paient des utilisateurs

DeFi a prouvé que la décentralisation a un prix, du moins à ses débuts. Cette fois, le Protocole d'équilibrage devient la nouvelle victime d'un autre hack DeFi.

Le 28 juin dernier, un attaquant a drainé plus de 500 000 $ de fonds de plusieurs pools d'équilibrage. En fin de compte, Balancer Labs était au courant de la possibilité de l'attaque, mais pensait qu'il était trop impossible de s'en tirer. Ils avaient tort alors maintenant ils doivent payer tous les fournisseurs de liquidités concernés.

Comment le Balancer Hack est arrivé

Le pirate a utilisé un contrat intelligent pour créer plusieurs commandes en une seule transaction. Tout d'abord, le coupable a obtenu un FlashLoan de 104 000 WETH de dYdX. Le WETH a ensuite été échangé avec des jetons STA d'avant en arrière 24 fois, drainant l'équilibre STA à près de 0.

La raison pour laquelle cela était possible était que les jetons STA ont un modèle déflationniste avec des frais de transfert de 1% tandis que le contrat Balancer Pool conserve la trace de tous les soldes de jetons.

Ensuite, le pirate a échangé plusieurs fois 1 weiSTA (0.000000000000000001 STA) contre WETH. Le pool n'a reçu aucune STA en raison de la mise en œuvre des frais de transfert. Cependant, le WETH était toujours sorti.

La même procédure a été répliquée pour drainer les soldes WBTC, LINK et SNX du pool. Tous les fonds volés ont été envoyés à cette adresse 0xbf675c80540111a310b06e1482f9127ef4e7469a.

Comment cela aurait pu être évité

La société d'investissement Crypto Hex Capital a affirmé avoir soumis la vulnérabilité exacte à l'origine du piratage le 6 mai lors du programme Balancer Lab Bug Bounty. Malheureusement, Balancer Labs n’a pas tenu compte de leurs conseils et doit maintenant faire face aux conséquences.

Après que Hex Capital a rendu publique sa soumission de primes de bogues, Balancer a répondu avec un article de blog expliquant leur côté de l'histoire avec des excuses.

Avant le rapport, il était clair pour nous que des opportunités d'arbitrage involontaires et d'éventuels vecteurs d'attaque inconnus pouvaient être causés par des actifs déflationnistes dans des pools d'équilibrage. Le protocole d'équilibrage n'a pas été conçu avec tous les jetons ERC20 non standard possibles à l'esprit.

Balancer Labs

Le message a ajouté plus tard que, bien qu'ils soient conscients de la possibilité d'une attaque, ils ne pensaient pas que ce serait une "attaque pratique" en raison de la quantité astronomique de fonds et de gaz nécessaires pour exécuter pleinement. Ils ont admis qu'ils étaient en faute et se sont excusés à la fois auprès d'Ankur Agrawal de Hex Capital et de tous les utilisateurs concernés par le piratage.

Sur une note positive, Hex Capital a fait un travail formidable, partageant sa soumission de primes de bogues, qui peut ou non avoir forcé la main de Balancer Labs à rembourser les utilisateurs. Ils ont également précisé que cela ne signifie pas que les pertes futures dues aux piratages seront remboursées.

Balancer Labs ne remboursera que les pertes de fournisseurs de liquidité dans cette attaque parce que nous pensons que nous aurions pu et aurions dû mieux faire pour éviter cela, étant donné le contexte du rapport de prime de bug que nous avons reçu avant l'attaque

Balancer Labs

Ankur Agrawal a également été payé avec la récompense maximale disponible dans le programme de primes aux bogues actuel.





Traduction de l’article de Sam Lee : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top