News
DeFi Balancer a fait une grave erreur, maintenant ils paient des utilisateurs
DeFi a prouvé que la décentralisation a un prix, du moins à ses débuts. Cette fois, le Protocole d'équilibrage devient la nouvelle victime d'un autre hack DeFi.
Le 28 juin dernier, un attaquant a drainé plus de 500 000 $ de fonds de plusieurs pools d'équilibrage. En fin de compte, Balancer Labs était au courant de la possibilité de l'attaque, mais pensait qu'il était trop impossible de s'en tirer. Ils avaient tort alors maintenant ils doivent payer tous les fournisseurs de liquidités concernés.
Comment le Balancer Hack est arrivé
Le pirate a utilisé un contrat intelligent pour créer plusieurs commandes en une seule transaction. Tout d'abord, le coupable a obtenu un FlashLoan de 104 000 WETH de dYdX. Le WETH a ensuite été échangé avec des jetons STA d'avant en arrière 24 fois, drainant l'équilibre STA à près de 0.
La raison pour laquelle cela était possible était que les jetons STA ont un modèle déflationniste avec des frais de transfert de 1% tandis que le contrat Balancer Pool conserve la trace de tous les soldes de jetons.
Ensuite, le pirate a échangé plusieurs fois 1 weiSTA (0.000000000000000001 STA) contre WETH. Le pool n'a reçu aucune STA en raison de la mise en œuvre des frais de transfert. Cependant, le WETH était toujours sorti.
La même procédure a été répliquée pour drainer les soldes WBTC, LINK et SNX du pool. Tous les fonds volés ont été envoyés à cette adresse 0xbf675c80540111a310b06e1482f9127ef4e7469a.
Comment cela aurait pu être évité
2 / Les piratages de contrats intelligents dans l'espace DeFi naissant d'Ethereum se sont produits de manière assez régulière. Cependant, celui-ci aurait pu être évité…
– Hex Capital (@Hex_Capital) 29 juin 2020
La société d'investissement Crypto Hex Capital a affirmé avoir soumis la vulnérabilité exacte à l'origine du piratage le 6 mai lors du programme Balancer Lab Bug Bounty. Malheureusement, Balancer Labs n’a pas tenu compte de leurs conseils et doit maintenant faire face aux conséquences.
Après que Hex Capital a rendu publique sa soumission de primes de bogues, Balancer a répondu avec un article de blog expliquant leur côté de l'histoire avec des excuses.
Avant le rapport, il était clair pour nous que des opportunités d'arbitrage involontaires et d'éventuels vecteurs d'attaque inconnus pouvaient être causés par des actifs déflationnistes dans des pools d'équilibrage. Le protocole d'équilibrage n'a pas été conçu avec tous les jetons ERC20 non standard possibles à l'esprit.
Balancer Labs
Le message a ajouté plus tard que, bien qu'ils soient conscients de la possibilité d'une attaque, ils ne pensaient pas que ce serait une "attaque pratique" en raison de la quantité astronomique de fonds et de gaz nécessaires pour exécuter pleinement. Ils ont admis qu'ils étaient en faute et se sont excusés à la fois auprès d'Ankur Agrawal de Hex Capital et de tous les utilisateurs concernés par le piratage.
Sur une note positive, Hex Capital a fait un travail formidable, partageant sa soumission de primes de bogues, qui peut ou non avoir forcé la main de Balancer Labs à rembourser les utilisateurs. Ils ont également précisé que cela ne signifie pas que les pertes futures dues aux piratages seront remboursées.
Balancer Labs ne remboursera que les pertes de fournisseurs de liquidité dans cette attaque parce que nous pensons que nous aurions pu et aurions dû mieux faire pour éviter cela, étant donné le contexte du rapport de prime de bug que nous avons reçu avant l'attaque
Balancer Labs
Ankur Agrawal a également été payé avec la récompense maximale disponible dans le programme de primes aux bogues actuel.
Traduction de l’article de Sam Lee : Article Original
Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog
