平衡器在24小时内遭到了两次黑客攻击,尽管这次的总和相对较小。
最近报道说,Balancer DeFit协议遭受了500,000美元的攻击。不到24小时后,第二次攻击夺走了价值约2300美元的复合令牌(COMP)。
DeBank的工程师Hao在推特上说,攻击者能够欺骗Balancer系统,以为他被欠了去中心化交易所池中存储的COMP令牌的很大一部分。
攻击涉及 dYdX和Uniswap的快速贷款。黑客借出了超过3300万美元,用于生成代表复合池所有权的cToken。
然后,攻击者将cToken转移到了Balancer池中。这触发了化合物分配由池在其正常操作期间产生的COMP。然后,黑客强迫Balancer更新池的余额,这时包括了所有借来的资金。因此,系统认为,尽管以前没有持有任何资金,但黑客有权获得池中COMP的很大一部分。
要求撤回COMP并将其交换给ETH的电话完成了这次黑客攻击,净赚到的钱相对较小,约为10 COMP,价值$ 2,300。
Hao指出,这次攻击与当天早些时候造成的$ 500,000损失相似。与第一次攻击一样,第二次攻击依赖于Balancer管理其内部状态的特殊方式。
此后,该团队已承诺要使受影响的用户整体受益。他们还将赔偿5月份报告该漏洞的研究人员。