Технічний аналіз атаки Хакера на платформу DeFi Balancer

Нещодавно один Децентралізовані фінанси платформа, яка привернула увагу завдяки моделі "позика та видобуток", зазнала атаки Хакерів. Зловмисники, використавши вразливість у двох пулів ERC20 дефляційних токенів STA і STONK на цій платформі, завдали збитків на понад 500 000 доларів.

Експерти з безпеки після аналізу виявили, що корінь проблеми полягає в тому, що дефляційний токен на цій платформі є несумісним зі своїм смарт-контрактом в певних випадках. Це дозволило зловмисникам створювати пули обігу токенів з ціновими відхиленнями та отримувати з цього прибуток.

Процес атаки в основному поділяється на чотири етапи:

1. Атакуючий отримав велику кількість WETH як швидкий кредит з певної платформи позик.

2. Атакуючий неодноразово виконує swapexactMountin() виклик, поки більшість токенів STA, що належать цільовій платформі, не буде витрачено, готуючи ґрунт для наступного етапу атаки.

3. Використовуючи несумісність токену STA та смарт-контрактів, а саме невідповідність обліку та залишків, зловмисник успішно виснажив інші активи в фонді, в результаті чого отримав прибуток понад 520 000 доларів.

4. Атакуючий повернув闪电贷 та переніс отримані в результаті атаки цифрові активи.

!

На другому етапі атаки зловмисник хитро змусив платформу залишити лише дуже мало STA, що призвело до аномального зростання вартості STA. Потім зловмисник скористався механізмом комісії за переказ токенів, що призвело до невідповідності між фактично отриманою платформою кількістю STA та внутрішнім обліком.

!

Через повторні виклики функції gulp() для скидання внутрішнього обліку, зловмисник зміг безперервно обмінювати невелику кількість STA на велику кількість інших активів, поки не вичерпав активи WETH, SNX, LINK тощо в ліквідному пулі.

!

Ця подія знову виявила ризики сумісності, пов'язані з комбінацією DeFi. Для запобігання подібним атакам рекомендується:

1. Токени з дефляцією під час переказу, коли сума недостатня для сплати комісії, повинні бути безпосередньо скасовані або повернуті False.

2. Платформа Децентралізовані фінанси повинна перевіряти фактичний баланс після кожного виклику функції transferFrom().

!

Більш того, розробники DeFi проектів повинні дотримуватись добрих кодових стандартів і проводити всебічне тестування на безпеку перед запуском. Одночасно важливо провести достатню перевірку сумісності для різних стандартів токенів та комбінацій DeFi проектів.

!

Ця атака призвела до збитків приблизно в 523 тисячі доларів, зокрема, з різними цифровими активами. Це безумовно вплине на всю екосистему Децентралізованих фінансів, а також нагадує розробникам про необхідність приділяти увагу безпеці смарт-контрактів. Зі швидким розвитком сфери DeFi подібні інциденти безпеки можуть продовжувати відбуватися, тому підвищення рівня обізнаності щодо безпеки та технологічних запобіжних заходів видається особливо важливим.

!

!

!

!