Análisis técnico del ataque de un Hacker a la plataforma DeFi Balancer

Recientemente, una plataforma de Finanzas descentralizadas que ha llamado mucho la atención por su modelo de "préstamo y minería" sufrió un ataque de un Hacker. El atacante aprovechó las vulnerabilidades en los pools de tokens ERC20 deflacionarios STA y STONK de la plataforma, causando pérdidas de más de 500,000 dólares.

Los expertos en seguridad analizaron y descubrieron que la raíz del problema radica en la incompatibilidad entre el token deflacionario en la plataforma y su contrato inteligente en circunstancias específicas. Esto permite a los atacantes crear un grupo de circulación de tokens con desviaciones de precio y obtener ganancias de ello.

El proceso de ataque se divide principalmente en cuatro pasos:

1. El atacante obtuvo una gran cantidad de WETH como un préstamo relámpago de una plataforma de préstamos.

2. El atacante ejecuta repetidamente la llamada swapexactMountin() hasta que la mayoría de los tokens STA que posee la plataforma objetivo se agoten, preparando el terreno para el siguiente ataque.

3. Aprovechando la incompatibilidad entre el token STA y los contratos inteligentes, es decir, la discrepancia en la contabilidad y el saldo, el atacante logró agotar otros activos en el fondo, obteniendo finalmente ganancias de más de 520,000 dólares.

4. El atacante devolvió el préstamo relámpago y transfirió los activos digitales obtenidos del ataque.

En el segundo paso del ataque, el atacante ingeniosamente dejó a la plataforma con una cantidad mínima de STA, lo que provocó un aumento anómalo en el valor de STA. Luego, el atacante aprovechó el mecanismo de tarifas de transacción de tokens, lo que resultó en una discrepancia entre la cantidad de STA que la plataforma realmente recibió y la contabilidad interna.

A través de la llamada repetida a la función gulp() para restablecer la contabilidad interna, el atacante pudo intercambiar continuamente una cantidad muy pequeña de STA por una gran cantidad de otros activos, hasta agotar los activos como WETH, SNX, LINK en el fondo de circulación.

Este evento ha expuesto nuevamente los riesgos de compatibilidad que existen en la combinabilidad de DeFi. Para prevenir ataques similares, se recomienda:

1. Los tokens deflacionarios deben revertirse o retornar False directamente al transferir, cuando la cantidad no sea suficiente para pagar la tarifa.

2. La plataforma DeFi debe verificar el saldo real después de cada llamada a la función transferFrom().

Más importante aún, los desarrolladores de proyectos DeFi deben adoptar buenas normas de codificación y realizar pruebas de seguridad exhaustivas antes de su lanzamiento. Al mismo tiempo, es crucial llevar a cabo verificaciones de compatibilidad adecuadas para diversos estándares de tokens y comportamientos combinados de proyectos DeFi.

El ataque causó pérdidas de aproximadamente 523,000 dólares, involucrando múltiples activos digitales. Esto sin duda afectará a todo el ecosistema de Finanzas descentralizadas, y recuerda a los desarrolladores la importancia de prestar atención a la seguridad de los contratos inteligentes. Con el rápido desarrollo del campo DeFi, eventos de seguridad similares podrían continuar ocurriendo, por lo que es especialmente importante fortalecer la conciencia de seguridad y las medidas técnicas de prevención.