Balancer回應閃電貸攻擊:未預料到這種攻擊可能性,將繼續審查方案

2020-06-29 09:21

BALANCER兩個流動性礦池今晨被爆出遭到閃電貸攻擊,被轉移資產價值約為50萬美元。BALANCER官方隨即對此事發布博客進行回應。BALANCER團隊對攻擊的方式進行了一次簡單回顧: 1. 使用閃電貸從DYDX借出ETH然后轉換為WETH; 2. 持續交易WETH和STA在每筆交易中,STA都有一筆轉移費用,而礦池希望接收到的資產中能省去這筆費用; 3. 在足夠的交易之后,攻擊者調用了GULP()它將內部池計算的代幣余額同步到了存儲在代幣跟蹤器合約中的實際余額里; 4. 由于STA的余額接近于零,它相對于其他代幣的價格非常高,攻擊者現在可以非常便宜地使用STA去交換池中的其他資產。 BALANCER表示雖然此前的確沒有意識到這種特定類型的攻擊是可能的,但團隊一直在文檔、DISCORD和其他頻道中警告ERC20S代幣對轉移費用可能在協議中產生的意想不到的影響。這也是為什么STA沒有被包括在最近合并的BAL挖礦白名單中。系統是為兼容的ERC20設計的,當代幣以非預期的方式運行時,就會發生不好的事情。BALANCER是一種不需要授權的協議,這也就說明智能合約中或許會被添加上含有惡意性質的代幣。下一步措施: 將開始向UI黑名單中添加轉移費標記,類似于我們為無礦池轉移標記所做的。不過這些列表將仍是不詳盡的,任何新的代幣都可以在任何時候添加到BALANCER中。 將添加更多關于這些池如何工作的風險的文檔,以及損壞或惡意設計的令牌如何可能從池中流失資產。 BALANCER已經經歷了2次完整的審計,并且已經計劃了第三次審計 (今天之前),BALANCER將繼續審核和審查該方案。

最新評論

暫無評論