450.000 dollar aan cryptocurrency gestolen door uitbuiten DeFi smart contract

Twee multi-token pools op Balancer, een geautomatiseerd marketmakersprotocol zijn op 29 juni leeggehaald door een aanvaller. Er is voor 450.000 dollar gestolen aan zogenaamde deflatoire tokens.

Twee aanvallen

De hacker voerde de aanval uit in twee afzonderlijke transacties, de eerste vond plaats om 18.03 uur en de tweede 30 minuten later om 18.49 uur. Alleen pools met STA en STONK, deflatoire tokens met transfervergoedingen, werden door deze hack getroffen.

Wat gebeurde er?

De aanvaller kreeg een flash loan van 23 miljoen dollar aan ethers van dYdX. Deze lening werd omgezet in WETH, en vervolgens ruilde de hacker constant WETH voor STA. Deze ruiling werd 24 keer uitgevoerd. Hierdoor konden ze de totale voorraad STA in de pool van Balancer reduceren tot 0,0000000000000001 STA, aangezien er op elke transactie 1% transactiekosten in mindering werden gebracht. Het STA saldo was dicht bij nul, waardoor de aanvaller ontzettend goedkoop de verzamelde STA  kon ruilen voor andere crypto’s in de pool.

Uiteindelijk ruilde de hacker alle STA voor 601,3 ETH (135.000 dollar), 11,36 WBTC (104.000 dollar), 22.593 LINK (103.000 dollar), en 60.915 SNX (11.000 dollar) uit de pool. Dat is dus meer dan 450.000 dollar voor en lening van 23 miljoen dollar.

Veel ervaring en kennis

1Inch schreef over deze hack op Medium. In het stuk staat dat de aanvaller een zeer geavanceerde smart contract engineer met uitgebreide kennis en begrip van de toonaangevende DeFi-protocollen moet zijn. Ook schrijven ze dat de ethers die werden gebruikt om de slimme contracten in te zetten, werden gemengd door Tornado Cash om de bron te verbergen.

Balancer verklaart dat ze zich niet bewust waren van het feit dat dit specifieke type aanval mogelijk was, maar waarschuwt wel voor onbedoelde effecten van deflatoire tokens met overdrachtskosten. Het bedrijf zegt dat ze deflatoire tokens aan de zwarte lijst willen toevoegen. Balancer zegt dat ze dit eerder deden voor ‘no bool transfer tokens’ wat dat ook mogen zijn.

Niet de eerste, niet de laatste

Dit is de niet de eerste grote aanval op DeFi protocollen. Op 15 februari kwamen aanvallers met 1 miljoen dollar weg door uitleenprotocol bZx te exploiteren. In april werd het dForce-protocol voor 25 miljoen dollar leeggehaald, maar het hele bedrag werd door de aanvaller om nog onbekende redenen teruggestort.

Overigens kun je je afvragen of dit werkelijk een hack is, of dat de smart contract protocollen nog niet slim genoeg zijn. Want uiteindelijk heeft de aanvaller de zwakke punten van bepaalde smart contracts uitgebuit.


Jerrymie Marcus komt uit de journalistiek en gelooft dat crypto de wereld kan verbeteren. Dat ondervond hij jaren geleden toen hij binnen een minuut waarde verzond naar zijn Indonesische familie. Bekend van o.a. Emerce, VPRO en EUclaim.

Bezoek mijn Linkedin

Reacties
  • Het STONK daar dus wel degelijk.

    29 juni 2020