29 июня на DeFi-протоколе Balancer были атакованы два токен-пула, которые хранили так называемые дефляционные токены. Хакер провел две атаки, которые затронули пулы STA и STONK.
Согласно посту 1inch на Medium, злоумышленник использовал смарт-контракт для автоматизации нескольких действий в одной транзакции. На первом этапе он получил флэш-кредит в 104 тыс WETH от dYdX. Эти средства использовались для обмена токенов WETH на STA 24 раза, что привело к опустошению баланса STA-пула до 1 weiSTA (0,000000000000000001 STA). Это стало возможным из-за дефляционной модели токена STA, за передачу которого взимается комиссия в размере 1% с получателя. Таким образом, каждый раз, когда атакующий менял WETH на STA, Balancer получал на 1% меньше STA.
При близком к нулю балансе STA злоумышленник смог очень дешево обменять токены на другие активы в пуле. Атакующий несколько раз поменял 1 weiSTA на WETH, а также на WBTC, SNX и LINK в пуле.
По данным The Block, злоумышленнику удалось вывести 601.3 ETH (~$134 800), 11.36 WBTC (~$103 500), 22 593 LINK (~$102 800) и 60 915 SNX (~$110 900). В общей сложности он получил около $452 000.
1inch отметили, что злоумышленник был «очень опытным разработчиком с обширными знаниями и пониманием ведущих DeFi-протоколов».
Разработчики Balancer заявили, что они не знали о возможности проведения именно такого типа атаки, но якобы предупреждали о рисках дефляционных токенов.