Twee multi-token pools op Balancer, een geautomatiseerd marketmakersprotocol zijn op 29 juni leeggehaald door een aanvaller. Er is voor 450.000 dollar gestolen aan zogenaamde deflatoire tokens.
Twee aanvallen
De hacker voerde de aanval uit in twee afzonderlijke transacties, de eerste vond plaats om 18.03 uur en de tweede 30 minuten later om 18.49 uur. Alleen pools met STA en STONK, deflatoire tokens met transfervergoedingen, werden door deze hack getroffen.
Wat gebeurde er?
De aanvaller kreeg een flash loan van 23 miljoen dollar aan ethers van dYdX. Deze lening werd omgezet in WETH, en vervolgens ruilde de hacker constant WETH voor STA. Deze ruiling werd 24 keer uitgevoerd. Hierdoor konden ze de totale voorraad STA in de pool van Balancer reduceren tot 0,0000000000000001 STA, aangezien er op elke transactie 1% transactiekosten in mindering werden gebracht. Het STA saldo was dicht bij nul, waardoor de aanvaller ontzettend goedkoop de verzamelde STA kon ruilen voor andere crypto’s in de pool.
Uiteindelijk ruilde de hacker alle STA voor 601,3 ETH (135.000 dollar), 11,36 WBTC (104.000 dollar), 22.593 LINK (103.000 dollar), en 60.915 SNX (11.000 dollar) uit de pool. Dat is dus meer dan 450.000 dollar voor en lening van 23 miljoen dollar.
Veel ervaring en kennis
1Inch schreef over deze hack op Medium. In het stuk staat dat de aanvaller een zeer geavanceerde smart contract engineer met uitgebreide kennis en begrip van de toonaangevende DeFi-protocollen moet zijn. Ook schrijven ze dat de ethers die werden gebruikt om de slimme contracten in te zetten, werden gemengd door Tornado Cash om de bron te verbergen.
Balancer verklaart dat ze zich niet bewust waren van het feit dat dit specifieke type aanval mogelijk was, maar waarschuwt wel voor onbedoelde effecten van deflatoire tokens met overdrachtskosten. Het bedrijf zegt dat ze deflatoire tokens aan de zwarte lijst willen toevoegen. Balancer zegt dat ze dit eerder deden voor ‘no bool transfer tokens’ wat dat ook mogen zijn.
Niet de eerste, niet de laatste
Dit is de niet de eerste grote aanval op DeFi protocollen. Op 15 februari kwamen aanvallers met 1 miljoen dollar weg door uitleenprotocol bZx te exploiteren. In april werd het dForce-protocol voor 25 miljoen dollar leeggehaald, maar het hele bedrag werd door de aanvaller om nog onbekende redenen teruggestort.
Overigens kun je je afvragen of dit werkelijk een hack is, of dat de smart contract protocollen nog niet slim genoeg zijn. Want uiteindelijk heeft de aanvaller de zwakke punten van bepaalde smart contracts uitgebuit.