По словам разработчиков DeFi-протокола Balancer, хакерская атака на проект произошла из-за ошибки в одном из ключевых компонентов платформы — пула Composable Stable.
По данным разработчиков, уязвимость позволила злоумышленникам использовать особенность механизма отложенных расчетов. Из-за ошибки в коде ликвидность могла временно опускаться ниже критического минимального уровня.
При операциях обмена типа EXACT_OUT некорректные коэффициенты масштабирования вызывали округление значений в меньшую сторону. Со временем накопленные расхождения создавали возможность для манипуляций балансами пулов, что и позволило злоумышленникам вывести активы.
Средства сначала перемещались на внутренние счета хранилища Balancer v2, а затем выводились отдельными транзакциями.
При этом основной удар пришелся на пулы Composable Stable v5, срок действия защитного периода которых истек. Версия v6 избежала масштабного истощения благодаря системе экстренного реагирования Hypernative, которая автоматически приостановила их работу.