Analyse technique de l'attaque du Hacker sur la plateforme DeFi Balancer
Récemment, une plateforme de Finance décentralisée très médiatisée en raison de son modèle "emprunt et minage" a été victime d'une attaque de Hacker. Les attaquants ont exploité une faille dans les pools de tokens déflationnistes ERC20 STA et STONK de la plateforme, entraînant des pertes de plus de 500 000 dollars.
Après analyse par des experts en sécurité, il a été constaté que la racine du problème réside dans l'incompatibilité entre le token déflationniste sur la plateforme et son contrat intelligent dans certaines situations. Cela a permis aux hackers de créer des pools de liquidité de tokens avec des écarts de prix et d'en tirer profit.
Le processus d'attaque se divise principalement en quatre étapes :
L'attaquant a obtenu une grande quantité de WETH en tant que prêt éclair depuis une plateforme de prêt.
L'attaquant exécute à plusieurs reprises l'appel swapexactMountin(), jusqu'à ce que la majorité des jetons STA détenus par la plateforme cible soit épuisée, préparant ainsi l'étape suivante de l'attaque.
En utilisant l'incompatibilité entre le jeton STA et le contrat intelligent, c'est-à-dire le désalignement des comptes et des soldes, l'attaquant a réussi à épuiser les autres actifs du pool de fonds, réalisant finalement un profit de plus de 520 000 dollars.
L'attaquant a remboursé le prêt éclair et a transféré les actifs numériques obtenus lors de l'attaque.
Dans la deuxième étape de l'attaque, l'attaquant a habilement réduit la quantité de STA restante sur la plateforme à un niveau très bas, ce qui a entraîné une augmentation anormale de la valeur de STA. Ensuite, l'attaquant a profité du mécanisme de frais de transaction lors du transfert de jetons, ce qui a entraîné un décalage entre la quantité de STA réellement reçue par la plateforme et la comptabilité interne.
En réinitialisant la comptabilité interne en appelant à plusieurs reprises la fonction gulp(), l'attaquant a pu échanger une quantité minimale de STA contre une grande quantité d'autres actifs, jusqu'à épuiser les actifs tels que WETH, SNX et LINK dans le pool de liquidités.
Cet incident a de nouveau mis en évidence les risques de compatibilité liés à la combinabilité de la Finance décentralisée. Pour prévenir des attaques similaires, il est recommandé :
Les jetons déflationnistes doivent être directement annulés ou renvoyer False lors d'un transfert si le montant est insuffisant pour couvrir les frais de transaction.
La plateforme DeFi doit vérifier le solde réel après chaque appel de fonction transferFrom().
Il est encore plus important que les développeurs de projets DeFi adoptent de bonnes normes de codage et effectuent des tests de sécurité complets avant le lancement. En même temps, il est également crucial de procéder à des vérifications de compatibilité approfondies des différents standards de tokens et des comportements combinés des projets DeFi.
Cette attaque a causé des pertes d'environ 523 000 dollars, impliquant plusieurs actifs numériques. Cela aura sans aucun doute un impact sur l'ensemble de l'écosystème de la Finance décentralisée, et rappelle aux développeurs l'importance de la sécurité des contrats intelligents. Avec le développement rapide du domaine DeFi, des événements de sécurité similaires pourraient continuer à se produire, il est donc particulièrement important de renforcer la sensibilisation à la sécurité et les mesures techniques de prévention.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Balancer a été attaqué par des hackers, perdant 520 000 $. Les risques de compatibilité DeFi suscitent à nouveau l'attention.
Analyse technique de l'attaque du Hacker sur la plateforme DeFi Balancer
Récemment, une plateforme de Finance décentralisée très médiatisée en raison de son modèle "emprunt et minage" a été victime d'une attaque de Hacker. Les attaquants ont exploité une faille dans les pools de tokens déflationnistes ERC20 STA et STONK de la plateforme, entraînant des pertes de plus de 500 000 dollars.
Après analyse par des experts en sécurité, il a été constaté que la racine du problème réside dans l'incompatibilité entre le token déflationniste sur la plateforme et son contrat intelligent dans certaines situations. Cela a permis aux hackers de créer des pools de liquidité de tokens avec des écarts de prix et d'en tirer profit.
Le processus d'attaque se divise principalement en quatre étapes :
L'attaquant a obtenu une grande quantité de WETH en tant que prêt éclair depuis une plateforme de prêt.
L'attaquant exécute à plusieurs reprises l'appel swapexactMountin(), jusqu'à ce que la majorité des jetons STA détenus par la plateforme cible soit épuisée, préparant ainsi l'étape suivante de l'attaque.
En utilisant l'incompatibilité entre le jeton STA et le contrat intelligent, c'est-à-dire le désalignement des comptes et des soldes, l'attaquant a réussi à épuiser les autres actifs du pool de fonds, réalisant finalement un profit de plus de 520 000 dollars.
L'attaquant a remboursé le prêt éclair et a transféré les actifs numériques obtenus lors de l'attaque.
Dans la deuxième étape de l'attaque, l'attaquant a habilement réduit la quantité de STA restante sur la plateforme à un niveau très bas, ce qui a entraîné une augmentation anormale de la valeur de STA. Ensuite, l'attaquant a profité du mécanisme de frais de transaction lors du transfert de jetons, ce qui a entraîné un décalage entre la quantité de STA réellement reçue par la plateforme et la comptabilité interne.
En réinitialisant la comptabilité interne en appelant à plusieurs reprises la fonction gulp(), l'attaquant a pu échanger une quantité minimale de STA contre une grande quantité d'autres actifs, jusqu'à épuiser les actifs tels que WETH, SNX et LINK dans le pool de liquidités.
Cet incident a de nouveau mis en évidence les risques de compatibilité liés à la combinabilité de la Finance décentralisée. Pour prévenir des attaques similaires, il est recommandé :
Les jetons déflationnistes doivent être directement annulés ou renvoyer False lors d'un transfert si le montant est insuffisant pour couvrir les frais de transaction.
La plateforme DeFi doit vérifier le solde réel après chaque appel de fonction transferFrom().
Il est encore plus important que les développeurs de projets DeFi adoptent de bonnes normes de codage et effectuent des tests de sécurité complets avant le lancement. En même temps, il est également crucial de procéder à des vérifications de compatibilité approfondies des différents standards de tokens et des comportements combinés des projets DeFi.
Cette attaque a causé des pertes d'environ 523 000 dollars, impliquant plusieurs actifs numériques. Cela aura sans aucun doute un impact sur l'ensemble de l'écosystème de la Finance décentralisée, et rappelle aux développeurs l'importance de la sécurité des contrats intelligents. Avec le développement rapide du domaine DeFi, des événements de sécurité similaires pourraient continuer à se produire, il est donc particulièrement important de renforcer la sensibilisation à la sécurité et les mesures techniques de prévention.