El protocolo de finanzas descentralizadas (DeFi) Balancer, que es conocido por ser un creador de mercado automatizado en Ethereum, fue víctima de un ataque que resultó en una pérdida de aproximadamente $900,000. Esto sucedió poco después de que el protocolo hiciera pública una vulnerabilidad que afectaba a varios de sus pools de liquidez.
Contenido:
El Ataque y el Exploit
El 27 de agosto, Balancer confirmó que había sido atacado y que se habían perdido alrededor de $900,000 debido a este incidente. Este ataque ocurrió solo unos días después de que se divulgara una vulnerabilidad que afectaba a varios de sus pools de liquidez.
El experto en seguridad blockchain, Meier Dolev, reveló la dirección de Ethereum que supuestamente pertenecía al atacante. Tras el exploit, esta dirección recibió dos transferencias de la stablecoin Dai por un valor de $636,812 y $257,527, respectivamente. Esto llevó el saldo total de la dirección a más de $893,978.
Respuesta de Balancer
El equipo de Balancer tomó medidas inmediatas al conocer el exploit. A pesar de que habían implementado medidas de mitigación en los días previos que habían reducido significativamente los riesgos, los pools afectados no pudieron ser pausados. Por lo tanto, el equipo instó a los usuarios a retirar sus fondos de los proveedores de liquidez para evitar futuros exploits.
Vulnerabilidad Revelada y Advertencia Anterior
La vulnerabilidad crítica que afectaba a los pools de Balancer fue divulgada el 22 de agosto. En ese momento, se instó a los usuarios a retirar sus fondos de los proveedores de liquidez y se pausaron los pools afectados para mitigar cualquier posible daño. Estos pools estaban en varias redes, incluyendo Ethereum, Polygon, Arbitrum, Optimism, Avalanche, Gnosis, Fantom y zkEVM.
Cuando se descubrió por primera vez la vulnerabilidad, solo el 1.4% de los activos totales de Balancer estaban en riesgo, lo que equivalía a más de $5 millones de exposiciones. Dos días después, el 24 de agosto, al menos $2.8 millones, o el 0.42% del valor total bloqueado (TVL), seguían en riesgo. En respuesta, Balancer instó nuevamente a los usuarios a migrar a pools seguros o retirar sus fondos de los pools en riesgo.
Antecedentes de Balancer
Balancer es un protocolo DeFi que se lanzó en la red Optimism en junio del año pasado. Su objetivo principal era mejorar la funcionalidad para los usuarios y reducir las tarifas de transacción. La plataforma permite a los usuarios crear y gestionar pools de liquidez, lo que facilita la provisión de liquidez y la obtención de rendimientos en sus activos digitales.
En resumen, Balancer enfrentó un ataque importante que resultó en una pérdida sustancial, destacando los riesgos asociados con la participación en DeFi y la importancia de la seguridad en este espacio en constante evolución.
Información adicional
- El atacante fue capaz de aprovechar la vulnerabilidad porque el protocolo no verificaba los tokens que se depositaban en los grupos de liquidez. Esto permitió al atacante depositar tokens falsos, que luego utilizó para llevar a cabo el ataque de doble gasto.
- Balancer ha tomado medidas para mitigar el riesgo de futuros ataques, incluyendo la implementación de un nuevo mecanismo de gestión de liquidez que verifica los tokens que se depositan en los grupos.
- El ataque a Balancer es un recordatorio de que los protocolos DeFi son complejos y vulnerables a los ataques. Los usuarios de los protocolos DeFi deben ser conscientes de los riesgos y tomar medidas para protegerse, como utilizar fondos de garantía y realizar auditorías de seguridad regulares.
Actualización
El 28 de agosto de 2023, Balancer anunció que había recuperado el 75% de los fondos robados en el ataque. El protocolo utilizó una técnica llamada «reentrancy attack» para revertir las transacciones fraudulentas realizadas por el atacante.
La recuperación de los fondos es una buena noticia para Balancer y sus usuarios. Sin embargo, el ataque sigue siendo un recordatorio de la importancia de la seguridad en los protocolos DeFi.
