Форум
USD
USD
EUR
RUB
UAH
KZT
Монеты: 19 040 Биржи: 1450
Рыночная капитализация: $3 454 560 366 901,01
Объём за 24 ч: $100 730 763 526,880
ETH Газ: 0,316 Gwei
Быстро
0,331 Gwei
Стандарт
0,316 Gwei
Медленно
0,315 Gwei
Балансер

Согласно данным исследователей SlowMist, 22 августа 2023 года разработчики Balancer объявили об обнаружении серьезной уязвимости, затрагивающей несколько пулов V2 Boost. Это касалось 1,4% общего значения заблокированных средств (TVL). Некоторые из них были временно приостановлены, а пользователям предложено вывести свои активы поставщиков ликвидности (LP).

Позднее система MistEye обнаружила подозрительные транзакции, использующие уязвимость Balancer. Приостановка работы пулов оказалась неэффективной и некоторые из них оставались уязвимыми для атак. Исследователи рассказали, что причина крылась в функции BatchSwap. Она обеспечивает атомарные обмены между различными пулами, соединяя выход одного с входом другого (tokenIn и tokenOut) и обменивая USDC на токены BPT.

При этом фактическая передача токенов не происходит. По словам специалистов SlowMist, вместо этого объемы обмена подтверждаются путем записи сумм входящих и исходящих токенов. Таким образом при процессе пакетного обмена были обнаружены 2 уязвимости безопасности.

Первая заключалась в том, что злоумышленники в одностороннем порядке добавляли основные токены, посредством округления их стоимости в меньшую сторону. Тем самым они получили возможность манипулировать курсом обмена внутри соответствующего составного пула.

Вторая проблема: виртуальное предложение рассчитывается путем вычитания баланса пула из токенов BPT. Если функция GiveIn — это токены BPT, то последующая поставка будет вычтена на конкретную сумму. Злоумышленникам нужно использовать BPT в качестве GiveIn и сманипулировать его предложением до 0, а затем выполнить обратный обмен. При этом BPT сработает как функция GiveOut. На этом этапе алгоритм выполнит транзакцию с соотношением почти 1 к 1, что ниже текущего курса линейного пула.

В итоге 1-я уязвимость увеличила обменный курс при конвертации. При этом 2-й баг, во время обратного обмена, снизил его. Воспользовавшись обеими ошибками злоумышленник получил выгоду и вышел из протокола.

Комментариев пока нет
Интересное по инвестиции
Британская компания Smarter Web инвестировала в биткоин $24,7 млн
Технологический сектор Великобритании демонстрирует растущий интерес к криптовалютам. Ярким примером служит стратегия Smarter Web Company, которая существенно расширила свои вложения в...
Предрыночные торги: Акции Domain Logistics выросли на 8,76%
На предрыночных торгах акции Diginex увеличились на 8,76%, достигнув цены $3. Компания планирует приобрести до 15 000 BTC и подать заявку на получение лицензии на выпуск стабильного криптоактива в Гонконге.
Binance Alpha запустила NodeOps (NODE)
Binance Alpha анонсировала запуск NodeOps (NODE) с текущей рыночной стоимостью $1,38.
Испанские власти ликвидировали мошенническую сеть криптоинвестиций на $500 млн
Испанская Гражданская гвардия совместно с правоохранительными органами Эстонии, Франции и США разоблачила мошеннический синдикат, обманувший более 5 000 человек. В ходе операции арестованы пять подозреваемых, из которых трое задержаны на Канарских островах, а двое - в Эстонии. Преступники отмыли около $539 миллионов, создавая международные схемы для ухода от ответственности.
Долгосрочные держатели Ethereum увеличивают покупки в июне
Аналитик CryptoQuant Sunmoon сообщил, что в июне долгосрочные держатели Ethereum значительно увеличили свои накопления, что указывает на стратегический подход к инвестициям в этой криптовалюте. График показывает четкую дивергенцию и силу модели долгосрочных держателей.