El protocolo de creación de mercado automatizado Balancer fue hackeado por más de $500.000 en una sola transacción de Ether (ETH), facilitado una vez más por un Flash Loan (o préstamo rápido, que permite obtener préstamos de forma instantánea y sencilla, sin necesidad de garantías) de la plataforma DeFi dYdX.  

Según el análisis que realizó el equipo de 1inch.exchange unas horas después del incidente, se descubrió una transacción cuidadosamente elaborada, en la que se utilizó más de 8 millones de GAS, o alrededor de dos tercios de un bloque de Ethereum, y que logró robar más de $500.000 en tokens de Ether, Wrapped Bitcoin (WBTC), Chainlink (LINK) y Synthetix (SNX).

Una movida inteligente

Con fecha del domingo a las 6 PM UTC, la transacción comienzó con un Flash Loan de dYdX por 104.000 ETH, o unos $23 millones.

El exploit se basó en Statera (STA), un token deflacionario donde el 1% de cada transacción se quema automáticamente. Los contratos inteligentes de Balancer parecen no haber tenido en cuenta esto, por lo que se esperaba que cada transacción fuera por el monto total.

El hacker se aprovechó de esto al realizar transacciones entre Statera y Ether 24 veces. En cada paso, el saldo de STA disponible para el contrato disminuyó en un 1%, pero el contrato inteligente no tuvo en cuenta esto. Así, el precio de STA se mantuvo estable a pesar de la disminución de la oferta.

Como se ha señalado en la declaración de Balancer, al final de este procedimiento el hacker recurrió a una función que actualizaba el precio en base al saldo efectivo en el pool. Como el lado STA estaba vacío, de golpe se le puso un precio muy alto.

El hacker usó un "weiSTA", o una milmillonésima parte de un token, para realizar el exchange por otros activos en la plataforma, incluyendo ETH, BTC, LINK y SNX. Debido al mecanismo de quemado, el weiSTA nunca concretó el exchange realmente, lo que permitió al hacker repetir la acción varias veces hasta que se secaron todos los pools de STA.

Luego realizó el cambio del resto de STA por tokens de Balancer Pool y las cobró a Ether con Uniswap.

Las prácticas de seguridad puestas en duda

El equipo de Balancer está siendo acusado por un investigador de seguridad y por el equipo de STA de haber ignorado un informe de error presentado casi dos meses antes. El CTO de Balancer, Mike McDonald, confirmó la existencia de dicho informe, afirmando que el problema descrito en él era básicamente inexplicable y culpando a los Flash Loans por el incidente. Hay que señalar que cualquier exploit hecho posible por un Flash Loan es también vulnerable a los hackers con fondos significativos.

En un tweet borrado posteriormente, McDonald parece haber asumido la responsabilidad del bug.

Cointelegraph consiguió capturas de pantalla del equipo de STA que sugieren además que Balancer estaba muy al tanto del problema con los tokens de transferencia como el Statera sólo unos días antes del incidente.

Si bien Balancer tomó medidas de precaución con el pool de STA al no incluirlo en el programa de minería de liquidez, no está claro por qué no se arregló el tema a nivel de contrato inteligente. Al mismo tiempo, el protocolo no tiene permiso y cualquiera puede añadir nuevos pools bajo su propio riesgo. Esto sería similar a un incidente que ocurrió en Uniswap durante el hackeo de dForce, en el que un pool creado contra el consejo del equipo fue hackeado simultáneamente.

Sin embargo, el equipo de Statera cree que los riesgos no fueron revelados adecuadamente, y un representante dijo:

"La única advertencia que tienen es en su sitio web que sugiere que el proyecto está en beta y que todos los fondos están en riesgo".

Aunque la documentación de Balancer menciona riesgos para los tokens similares a las de Statera, sólo implican "oportunidades de arbitraje". El representante de Statera dijo que "no habríamos ido con Balancer si supiéramos que estábamos en riesgo de un ataque así".

Cointelegraph se puso en contacto con Balancer para saber más, pero no recibió una respuesta inmediata.

Sigue leyendo: