全部文章
资讯
Balancer回应闪电贷攻击:预料之外,将继续审查方案
2020-06-29
4953
在被爆出两个流动性矿池遭到闪电贷攻击,并被转移了价值约为50万美元的资产后,Balancer团队发布官方博客进行了回应

在被爆出两个流动性矿池遭到闪电贷攻击,并被转移了价值约为50万美元的资产后,Balancer团队在29日上午9点发布官方博客进行回应。


据Balancer团队介绍,本次攻击主要由以下几个特点:

1. 使用闪电贷从dYdX借出ETH然后转换为WETH;

2. 持续交易WETH和STA在每笔交易中,STA都有一笔转移费用,而矿池希望接收到的资产中能省去这笔费用;

3. 在足够的交易之后,攻击者调用了 gulp() 它将内部池计算的代币余额同步到了存储在代币跟踪器合约中的实际余额里;

4. 由于STA的余额接近于零,它相对于其他代币的价格非常高,攻击者现在可以非常便宜地使用STA去交换池中的其他资产。


Balancer表示虽然此前的确没有意识到这种特定类型的攻击是可能的,但团队一直在文档、discord 和其他频道中警告 ERC20 代币对转移费用可能在协议中产生的意想不到的影响。这也是为什么 STA 没有被包括在最近合并的 BAL 挖矿白名单中。系统是为兼容的 ERC20 设计的,当代币以非预期的方式运行时,就会发生不好的事情。Balancer 是一种不需要授权的协议,这也就说明智能合约中或许会被添加上含有恶意性质的代币。


Balancer同时也告知了下一步的措施,包括:

1、将开始向 UI 黑名单中添加转移费标记,类似于我们为无矿池转移标记所做的。不过这些列表将仍是不详尽的,任何新的代币都可以在任何时候添加到 Balancer 中。

2、将添加更多关于这些池如何工作的风险的文档,以及损坏或恶意设计的令牌如何可能从池中流失资产。

3、Balancer 已经经历了 2 次完整的审计,并且已经计划了第三次审计 (今天之前),Balancer 将继续审核和审查该方案。


声明:本文由入驻五六财经的作者撰写,观点仅代表作者本人,绝不代表五六财经赞同其观点或证实其描述。五六财经提醒您,投资有风险,入市须谨慎。本资讯不作为投资理财建议。
todamoon
+关注
评论
评论
热门标签
热门文章