defi项目的平衡器是如何被攻击的？官方是这么说的

备受推崇的“流动性挖矿”去中心化交易平台Balancer前晚遭到攻击。平台上的两个流动性池sta和stonk受到了flash loan的攻击，造成了50万美元的损失。目前，这两个代币池的流动性已经耗尽。Sta和storm代币是通货紧缩的代币。

损失发生后，balancer labs发布了对攻击的描述，初步解释了攻击的原因和随后的处理方法。

Balancer，也可以看作是一种非托管的投资组合管理服务，成立于2018年，是一家分析公司blockscience的项目。受Uniswap的启发，balancer找到了调动零散流动性的独特机会，并开发了一个由多个公共和私人流动性池组成的协议。均衡器本质上是Uniswap的自动做市商（AMM）模的一般实现，这个概念已经引起开放金融生态系统参与者的广泛兴趣。该项目刚刚完成了由帮凶和placeholder牵头的300万美元种子轮投资，合作伙伴包括coinfund和reflection。

项目上线后，balancer labs推出“流动性挖矿”代币机制，推出社区治理代币（BAL）方案，6月正式实施“流动性挖矿”代币机制，试图将其代币BAL注入平衡协议的早期采用者，为促进更多流动性提供者的参与和参与社区治理提供了经济激励。BAL总供应量为1亿，其中2500万分配给创始人、核心开发者、顾问和投资者，并设定一定的解锁期。剩余的7500万代币计划分配给为均衡器基金池提供流动性的用户。BAL代币的每周总发行量为14.5万，每年总计750万BAL——这一过程被称为“流动性挖矿”

以下是balancer labs发布的对balancer平台上的sta和股票流动性池的攻击的初步描述：

今天，在balancer上发生了一次严重的flash loan攻击。攻击者从两个流池中提取资金，其中包含带有转移费的代币（有时称为通货紧缩或通货紧缩代币）。受到攻击的两个池中的代币是sta和stonk（注意：此攻击只会影响收集这些代币作为转移费的流池）。

https://oko.palkeo.com/0x013be97768b702fe8eccef1a40544d5ecb3c1961ad5f87fee4d16fdc08c78106/

攻击原理分析说明如下：

一。从dydx借火币4，换成w火币4；
2。和60114 WA
连续交易。Sta需要为每笔交易支付一笔转账费用，资金池希望免费获得余额；
4，经过足够的调用，攻击者调用gulp（）函数，可以将记录代币余额的内部池账与代币跟踪器合同中存储的实际余额同步；
5。由于sta余额接近于零，其价格与其他代币价格相比非常高。在这种情况下，攻击者可以使用STA以非常低的成本交换资金池中的其他资产。

我们不知道这种特定类的攻击是可能的，但是在平衡器协议文档、discord和其他频道中已经发布了警告，以通知用户带有传输费的ERC-20代币可能会对协议产生意外的影响。当然，这就是为什么我们没有把sta放在最近总结的BAL挖矿白名单上。我们的系统是按照ERC-20代币标准设计的，而当代货币的意想不到的行为就是可能出现坏情况。同时，balancer是一种无许可协议，这意味着攻击者可以在合同级别添加“恶意”或“破坏性”代币。

下一步：

1我们将开始向UI黑名单中添加带有传输费的代币，就像我们对“no bool”传输代币所做的那样。需要注意的是，我们的黑名单并不是详尽无遗的，任何新的代币都可能由均衡器随时添加；
2。我们将添加更多的文档来解释基金池是如何工作的，以及“破坏性”代币或精心设计的“恶意”代币如何耗尽基金池中的资产，以及相关风险。
3号。Balancer已经通过了两次全面审计，第三次全面审计正在计划中（今天之前）。预计不久将开始第三次全面审计。同时，我们将继续审查和审查该协议。