Следом за первой атакой на DeFi-протокол Balancer, последовала другая, хотя во второй раз хакер украл гораздо меньше средств. В первый раз он украл токены на $500000, а менее чем через 24 часа вывел токены COMP на сумму около $2300.
В этот раз злоумышленник смог обмануть систему Balancer, заставив ее думать, что ему причитается некоторая часть токенов COMP, хранящихся в пуле децентрализованной биржи. В этой атаке хакер использовал флэш-кредиты от платформ dYdX и Uniswap. Он одолжил более $33 млн для генерации токенов cToken.
Затем атакующий перенес cToken в пул Compound, что побудило пул сделать пересчет токенов COMP, накопленных во время нормальной работы. Хакер вынудил протокол Balancer обновить баланс пула, в который уже вошли все заемные деньги. Таким образом, система решила, что хакер имеет право на долю средств пула. Он вывел эту долю и обменял на Ethereum, хотя прибыль в результате оказалась не велика.
Команда Balancer пообещала сделать возмещение затронутым пользователям и теперь ей предстоит большая работа над безопасностью.