DeFi : Balancer perd 500 000$ suite à un hack

L’écosystème DeFi ne s’est jamais aussi bien porté que la semaine passée. L’engouement a principalement été engendré par le lancement des jetons de gouvernance COMP et BAL. Malheureusement, un hack du côté de Balancer est venu ternir le week-end !

500 000 dollars de pertes

Les rapports concernant le potentiel piratage de Balancer ont commencé à faire le tour de Twitter dans la journée de dimanche. La rumeur fut par la suite confirmée par le chercheur Steven Zheng :

Par la suite, les équipes en charge du protocole ont donné les détails de l’attaque. Ainsi, selon cette publication, l’incident aurait eu lieu à cause de tokens ayant des frais de transfert, dits « déflationnistes ».

Une fois de plus, c’est un flash loan (prêt instantané) qui a permis à l’attaquant de profiter et d’exploiter une faille dans le système de Balancer. Résultat des courses : 500 000 $ de jetons wETH envolés. 

Détails de l’attaque

Comme ce fut le cas pour les hacks successifs de bZx, cette attaque n’a été possible que grâce à l’existence des flash loans, ces prêts qui ne durent que le temps d’une transaction.

Ainsi, l’attaquant a contracté un prêt en ETH sur dYdX, qu’il a converti en wETH. Il a par la suite échangé à de nombreuses reprises (24 fois en tout) ses ETH pour des Statera (STA).

Pour chaque transaction, STA applique des frais de transfert de 1% (qui sont détruits) et la pool s’attend à recevoir un solde sans ces frais. Une fois l’opération répétée un grand nombre de fois, l’attaquant a finalement réussi à vider la pool STA.

Une fois la pool vide, le cours du STA a été artificiellement gonflé, ce qui a permis à l’attaquant de drainer d’autres pools (wBTC, SNX ou LINK) contre du STA dont le cours était sous hormones.

Comme l’a souligné Balancer, cette attaque n’a pas été réalisée par un amateur, mais bel et bien par un expert, tout à fait au courant de ses agissements et de leurs conséquences :

« La personne derrière cette attaque était un ingénieur en smart contract très sophistiqué et intelligent, possédant une connaissance et une compréhension approfondie des principaux protocoles DeFi. L’attaque était organisée et bien préparée à l’avance. »

Quoi qu’il en soit, il semblerait que l’erreur soit tout de même du côté de Balancer, qui avait été averti de la faille au début du mois de juin dans le cadre de son bug bounty. Cet incident rappelle également les mises en garde de Vitalik Buterin face au manque de communication autour des risques des protocoles DeFi.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.