Merkezi Olmayan Finans platformu Balancer'a Hacker saldırısı olayı Teknik Analiz
Son zamanlarda, bir DeFi platformu yenilikçi "borç verme ve madencilik" modeli ile geniş bir ilgi topladı. Ancak, bu platformdaki iki ERC20 enflasyonist token havuzu 29 Haziran sabahında bir Hacker tarafından saldırıya uğradı ve 500.000 dolardan fazla kayba neden oldu.
Güvenlik uzmanları analiz ettikten sonra, sorunun kaynağının bu platformdaki deflasyonist token ile akıllı sözleşmelerinin belirli durumlarda uyumsuzluk göstermesi olduğunu ve bunun da saldırganların fiyat sapmalarını kullanarak kar elde etmelerine olanak tanıdığını keşfettiler.
Bu saldırı esasen dört aşamaya ayrılmıştır:
Saldırgan, bir borçlanma platformundan ani kredi ile büyük miktarda WETH ödünç alır.
swapexactMountin() fonksiyonunu tekrar tekrar çağırarak, platformun neredeyse tüm STA tokenlerini tüketin.
STA tokeninin platform akıllı sözleşmeleri ile uyumsuzluğundan, yani muhasebe ve gerçek bakiye arasındaki uyumsuzluktan yararlanarak, fon havuzundaki diğer varlıkları tüketip, sonunda 520.000 dolardan fazla kâr elde etmiştir.
Işık kredilerini geri ödeyin ve karla çıkın.
Teknik detay analizi aşağıdadır:
İlk Adım: Flaş Kredi
Saldırgan, sonraki işlemler için hazırlık olarak büyük miktarda WETH ödünç alıyor.
İkinci adım: platformun STA varlıklarını boşalt
Saldırgan, swapExactAmountIn() fonksiyonunu birden fazla kez çağırarak platformun STA bakiyesini sıfıra yakın bir seviyeye düşürdü ve bir sonraki saldırı için zemin hazırladı.
Üçüncü adım: saldırıdan kazanç
Saldırganlar, platformun "dinamik denge" ilkesini kullanarak çok az miktarda STA ile büyük miktarda diğer varlıkları elde ediyor. STA transferi sırasında %1'lik bir işlem ücreti yanacağı için platformun aslında STA alması mümkün olmamakta ve bu da iç muhasebe ile gerçek bakiye arasında uyumsuzluğa yol açmaktadır. Saldırgan, gulp() fonksiyonunu tekrar tekrar çağırarak iç muhasebeyi sıfırlamakta ve sürekli olarak küçük miktarda STA ile diğer değerli varlıkları elde etmektedir.
Dördüncü Adım: Flaş Krediyi Geri Öde
Son olarak, saldırgan ödünç alınan WETH'i geri ödeyerek tüm saldırı sürecini tamamlar.
Bu olay, DeFi'nin bileşen uyumluluğunda var olan riskleri bir kez daha açığa çıkardı. Benzer saldırıları önlemek için öneriler:
Deflasyonist tokenler, transfer işlemi sırasında, ücretleri ödemek için yeterli miktar yoksa doğrudan geri alınmalı veya False döndürmelidir.
Platform her transferFrom() çağrısından sonra gerçek bakiyeyi kontrol etmelidir.
Merkezi Olmayan Finans projeleri geliştiricileri iyi kod standartlarını benimsemeli, kapsamlı güvenlik testleri yapmalı ve çeşitli olası kombinasyon davranışlarını dikkatlice incelemelidir.
Bu saldırının neden olduğu spesifik kayıplar, WETH, WBTC, SNX gibi birçok dijital varlığı içeriyor ve toplam değeri 520.000 dolardan fazla. Bu olay şüphesiz Merkezi Olmayan Finans topluluğu üzerinde bir etki yaratacak ve proje geliştiricilerini akıllı sözleşmelerin güvenliğine son derece dikkat etmeleri gerektiği konusunda uyarmaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Balancer, hacker saldırısında 500.000 dolar kaybetti. Merkezi Olmayan Finans deflasyonist token açığı analizi.
Merkezi Olmayan Finans platformu Balancer'a Hacker saldırısı olayı Teknik Analiz
Son zamanlarda, bir DeFi platformu yenilikçi "borç verme ve madencilik" modeli ile geniş bir ilgi topladı. Ancak, bu platformdaki iki ERC20 enflasyonist token havuzu 29 Haziran sabahında bir Hacker tarafından saldırıya uğradı ve 500.000 dolardan fazla kayba neden oldu.
Güvenlik uzmanları analiz ettikten sonra, sorunun kaynağının bu platformdaki deflasyonist token ile akıllı sözleşmelerinin belirli durumlarda uyumsuzluk göstermesi olduğunu ve bunun da saldırganların fiyat sapmalarını kullanarak kar elde etmelerine olanak tanıdığını keşfettiler.
Bu saldırı esasen dört aşamaya ayrılmıştır:
Saldırgan, bir borçlanma platformundan ani kredi ile büyük miktarda WETH ödünç alır.
swapexactMountin() fonksiyonunu tekrar tekrar çağırarak, platformun neredeyse tüm STA tokenlerini tüketin.
STA tokeninin platform akıllı sözleşmeleri ile uyumsuzluğundan, yani muhasebe ve gerçek bakiye arasındaki uyumsuzluktan yararlanarak, fon havuzundaki diğer varlıkları tüketip, sonunda 520.000 dolardan fazla kâr elde etmiştir.
Işık kredilerini geri ödeyin ve karla çıkın.
Teknik detay analizi aşağıdadır:
İlk Adım: Flaş Kredi Saldırgan, sonraki işlemler için hazırlık olarak büyük miktarda WETH ödünç alıyor.
İkinci adım: platformun STA varlıklarını boşalt Saldırgan, swapExactAmountIn() fonksiyonunu birden fazla kez çağırarak platformun STA bakiyesini sıfıra yakın bir seviyeye düşürdü ve bir sonraki saldırı için zemin hazırladı.
Üçüncü adım: saldırıdan kazanç Saldırganlar, platformun "dinamik denge" ilkesini kullanarak çok az miktarda STA ile büyük miktarda diğer varlıkları elde ediyor. STA transferi sırasında %1'lik bir işlem ücreti yanacağı için platformun aslında STA alması mümkün olmamakta ve bu da iç muhasebe ile gerçek bakiye arasında uyumsuzluğa yol açmaktadır. Saldırgan, gulp() fonksiyonunu tekrar tekrar çağırarak iç muhasebeyi sıfırlamakta ve sürekli olarak küçük miktarda STA ile diğer değerli varlıkları elde etmektedir.
Dördüncü Adım: Flaş Krediyi Geri Öde Son olarak, saldırgan ödünç alınan WETH'i geri ödeyerek tüm saldırı sürecini tamamlar.
Bu olay, DeFi'nin bileşen uyumluluğunda var olan riskleri bir kez daha açığa çıkardı. Benzer saldırıları önlemek için öneriler:
Deflasyonist tokenler, transfer işlemi sırasında, ücretleri ödemek için yeterli miktar yoksa doğrudan geri alınmalı veya False döndürmelidir.
Platform her transferFrom() çağrısından sonra gerçek bakiyeyi kontrol etmelidir.
Merkezi Olmayan Finans projeleri geliştiricileri iyi kod standartlarını benimsemeli, kapsamlı güvenlik testleri yapmalı ve çeşitli olası kombinasyon davranışlarını dikkatlice incelemelidir.
Bu saldırının neden olduğu spesifik kayıplar, WETH, WBTC, SNX gibi birçok dijital varlığı içeriyor ve toplam değeri 520.000 dolardan fazla. Bu olay şüphesiz Merkezi Olmayan Finans topluluğu üzerinde bir etki yaratacak ve proje geliştiricilerini akıllı sözleşmelerin güvenliğine son derece dikkat etmeleri gerektiği konusunda uyarmaktadır.