Balancer sufrió un ataque de un Hacker con pérdidas de 500,000 dólares Análisis de vulnerabilidades de tokens deflacionarios en Finanzas descentralizadas
Análisis técnico del ataque del Hacker a la plataforma DeFi Balancer
Recientemente, una plataforma de Finanzas descentralizadas ha llamado la atención por su innovador modelo de "préstamo y minería". Sin embargo, dos pools de tokens ERC20 deflacionarios en la plataforma fueron atacados por hackers en la madrugada del 29 de junio, causando pérdidas de más de 500,000 dólares.
Después de que los expertos en seguridad analizaran, descubrieron que la raíz del problema radica en la incompatibilidad entre el token deflacionario en la plataforma y su contrato inteligente en ciertas circunstancias, lo que permite a los atacantes beneficiarse de las desviaciones de precios.
Este ataque se divide principalmente en cuatro pasos:
El atacante toma prestado una gran cantidad de WETH de una plataforma de préstamos a través de un préstamo relámpago.
A través de llamadas repetidas a la función swapexactMountin(), se agotan casi todos los tokens STA de la plataforma.
Aprovechando la incompatibilidad entre el token STA y el contrato inteligente de la plataforma, es decir, la discrepancia entre la contabilidad y el saldo real, se agotaron otros activos en el fondo, obteniendo finalmente más de 520,000 dólares.
Reembolsar el préstamo relámpago y llevar las ganancias al salir.
El análisis de los detalles técnicos es el siguiente:
Primer paso: Préstamo relámpago
El atacante presta una gran cantidad de WETH para prepararse para operaciones posteriores.
Segundo paso: vaciar los activos de STA de la plataforma
El atacante, mediante múltiples llamadas a la función swapExactAmountIn(), ingeniosamente redujo el saldo de STA de la plataforma a casi cero, allanando el camino para el siguiente ataque.
Paso tres: Ganancias del ataque
Los atacantes aprovechan el principio de "equilibrio dinámico" de la plataforma para intercambiar una pequeña cantidad de STA por una gran cantidad de otros activos. Dado que se quema un 1% de tarifa al transferir STA, la plataforma realmente no puede recibir STA, lo que causa una discrepancia entre la contabilidad interna y el saldo real. Los atacantes restablecen la contabilidad interna al llamar repetidamente a la función gulp(), cambiando continuamente pequeñas cantidades de STA por otros activos valiosos.
Cuarto paso: Reembolsar el préstamo relámpago
Finalmente, el atacante devuelve el WETH prestado, completando todo el proceso de ataque.
Este evento expone nuevamente los riesgos de compatibilidad que existen en la combinabilidad de las Finanzas descentralizadas. Para evitar ataques similares, se sugiere:
Los tokens deflacionarios deben revertir directamente o devolver False al realizar una transferencia si el monto no es suficiente para cubrir la tarifa.
La plataforma debe verificar el saldo real después de cada llamada a transferFrom().
Los desarrolladores de proyectos de Finanzas descentralizadas deben adoptar buenas normas de codificación, realizar pruebas de seguridad exhaustivas y llevar a cabo una revisión minuciosa de las diversas combinaciones de comportamientos posibles.
Las pérdidas específicas causadas por este ataque incluyen varios activos digitales como WETH, WBTC y SNX, con un valor total superior a 520,000 dólares. Este evento sin duda tendrá un impacto en la comunidad de Finanzas descentralizadas, y también recuerda a los desarrolladores de proyectos que deben dar gran importancia a la seguridad de los contratos inteligentes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Balancer sufrió un ataque de un Hacker con pérdidas de 500,000 dólares Análisis de vulnerabilidades de tokens deflacionarios en Finanzas descentralizadas
Análisis técnico del ataque del Hacker a la plataforma DeFi Balancer
Recientemente, una plataforma de Finanzas descentralizadas ha llamado la atención por su innovador modelo de "préstamo y minería". Sin embargo, dos pools de tokens ERC20 deflacionarios en la plataforma fueron atacados por hackers en la madrugada del 29 de junio, causando pérdidas de más de 500,000 dólares.
Después de que los expertos en seguridad analizaran, descubrieron que la raíz del problema radica en la incompatibilidad entre el token deflacionario en la plataforma y su contrato inteligente en ciertas circunstancias, lo que permite a los atacantes beneficiarse de las desviaciones de precios.
Este ataque se divide principalmente en cuatro pasos:
El atacante toma prestado una gran cantidad de WETH de una plataforma de préstamos a través de un préstamo relámpago.
A través de llamadas repetidas a la función swapexactMountin(), se agotan casi todos los tokens STA de la plataforma.
Aprovechando la incompatibilidad entre el token STA y el contrato inteligente de la plataforma, es decir, la discrepancia entre la contabilidad y el saldo real, se agotaron otros activos en el fondo, obteniendo finalmente más de 520,000 dólares.
Reembolsar el préstamo relámpago y llevar las ganancias al salir.
El análisis de los detalles técnicos es el siguiente:
Primer paso: Préstamo relámpago El atacante presta una gran cantidad de WETH para prepararse para operaciones posteriores.
Segundo paso: vaciar los activos de STA de la plataforma El atacante, mediante múltiples llamadas a la función swapExactAmountIn(), ingeniosamente redujo el saldo de STA de la plataforma a casi cero, allanando el camino para el siguiente ataque.
Paso tres: Ganancias del ataque Los atacantes aprovechan el principio de "equilibrio dinámico" de la plataforma para intercambiar una pequeña cantidad de STA por una gran cantidad de otros activos. Dado que se quema un 1% de tarifa al transferir STA, la plataforma realmente no puede recibir STA, lo que causa una discrepancia entre la contabilidad interna y el saldo real. Los atacantes restablecen la contabilidad interna al llamar repetidamente a la función gulp(), cambiando continuamente pequeñas cantidades de STA por otros activos valiosos.
Cuarto paso: Reembolsar el préstamo relámpago Finalmente, el atacante devuelve el WETH prestado, completando todo el proceso de ataque.
Este evento expone nuevamente los riesgos de compatibilidad que existen en la combinabilidad de las Finanzas descentralizadas. Para evitar ataques similares, se sugiere:
Los tokens deflacionarios deben revertir directamente o devolver False al realizar una transferencia si el monto no es suficiente para cubrir la tarifa.
La plataforma debe verificar el saldo real después de cada llamada a transferFrom().
Los desarrolladores de proyectos de Finanzas descentralizadas deben adoptar buenas normas de codificación, realizar pruebas de seguridad exhaustivas y llevar a cabo una revisión minuciosa de las diversas combinaciones de comportamientos posibles.
Las pérdidas específicas causadas por este ataque incluyen varios activos digitales como WETH, WBTC y SNX, con un valor total superior a 520,000 dólares. Este evento sin duda tendrá un impacto en la comunidad de Finanzas descentralizadas, y también recuerda a los desarrolladores de proyectos que deben dar gran importancia a la seguridad de los contratos inteligentes.