- Die Balancer-uitbuiting het van aanvanklike ramings van $70 miljoen tot meer as $128 miljoen in verliese geëskaleer.
- Die waarskynlike oorsaak was 'n toegangsbeheerfout in V2 wat ongemagtigde onttrekkings toegelaat het.
- Dit het verskeie netwerke beïnvloed: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism en Polygon.
- Die protokol het 'n beloning van 20% aangebied; die BAL-teken het geval en Berachain het 'n noodafsluiting ervaar.
El gedesentraliseerde finansieringsprotokol Balancer geregistreer het een van sy grootste veiligheidsvoorvalle tot op die datum, met 'n aanval wat begin aanmeld is rondom $70 miljard en dat, volgens die mees onlangse gekonsolideerde data, Dit sou maklik meer as 128 miljoen gewees het in bates wat na nuwe portefeuljes gedreineer is.
Die toegewyde fondse sluit in osETH, WETH en wstETHen hulle sou hoofsaaklik onttrek het van poele van weergawe V2Die kwaadwillige aktiwiteit het oor verskeie netwerke versprei, terwyl die teken BAL Hy het intradagse val gely en gebruikers het gewag vir amptelike bevestigings oor die werklike omvang van die voorval.
Hoe die aanval plaasgevind het
Aanvanklike ontledings dui op 'n foutiewe toegangsbeheer in die manageUserBalance-funksie van Balancer V2Die kwesbaarheid sou ontstaan in valideerGebruikersbalansOp, deur verkeerd te vergelyk msg.sender met 'n op.sender verskaf deur die gebruiker, wat dit sou toelaat ongemagtigde onttrekkings deur die operasie GebruikersBalansOpType.WITHDRAW_INTERNAL.
Hierdie vektor het die deur oopgemaak vir kwaadwillige akteurs om los te laat interne balansbewegings direk uit kontrakte sonder behoorlike toestemmings. Kluis van V2 —die sentrale kontrak wat die tekens van elke poel bevat—het in fokus gekom, wat nie net Balancer beïnvloed het nie, maar ook dienste gebou op sy argitektuur.
Parallel is die volgende opgespoor kluisleegmaak op netwerke soos Sonies, Veelhoek en BasisDit versterk die onderling gekoppelde aard van die DeFi-ekosisteem. Die operateur se adres Dit het begin om bates vinnig te konsolideer, wat die risiko van die daaropvolgende verduistering daarvan verhoog deur mengers of brûe tussen kettings.
Gespesialiseerde sekuriteitspanne, insluitend Decurity en data-ontleders op die ketting, hou steeds die vloei van fondse en die potensiële transaksieketting dop, met die doel om die aanvaller se profilering en die presiese definisie van die area van die oortreding.
Omvang van skade en verspreiding deur voorsieningskettings
Die jongste ramings verhoog die totale gedreineerde hoeveelheid tot ongeveer 128,64 miljoen dollar, met 'n oorheersende gewig van Ethereum en 'n beduidende impak op verskeie L2- en versoenbare netwerke. Dit is ook bevestig dat Beets FinansiesDie afgeleide projek het verliese gely wat meer as 3 miljard.
- Ethereum: ~ 99,6 miljoen
- Beraking: ~ 12,86 miljoen
- Arbitrum: ~ 6,96 miljoen
- Basis: ~ 4,01 miljoen
- sonic: ~ 3,44 miljoen
- Optimism: ~ 1,58 miljoen
- Polygon: ~232.350
Onder die uitgeputte bates het die volgende uitgestaan: 6.850 osETH, 6.590 XNUMX WETH y 4.260 wstETH, vinnig agtereenvolgens oorgedra na nuwe portefeuljes, 'n patroon wat ooreenstem met 'n aanvaller wat kennis dra van die logika van die kontrakte en die samestelling van die poele.
Om die terugbetaling van fondse aan te spoor, het die Balancer-span 'n 20% beloning in formaat white hatvoorwaardelik op die onmiddellike terugbetaling van die oorblywende kapitaal. Andersins is 'n waarskuwing uitgereik rakende samewerking met blokkettingforensiese ondersoeke en owerhede om die verantwoordelike persoon te identifiseer.
Die impak het ook na die infrastruktuur uitgebrei: Berachain uitgevoer 'n noodarrestasie en 'n hard fork daarop gemik om die impak op spesifieke bates in sy eie DEX te beperk, met 'n verbintenis om die netwerk te hervat na die herstel van die betrokke fondse.
Protokolrespons en markeffekte
Die span het aangedui dat die swembaddens V2 is geraakterwyl V3 het operasioneel gebly en sonder skade, en het berig dat sy ingenieurs- en veiligheidsareas met prioriteit ondersoek instel om inperkingsmaatreëls en potensiële herstelroetes te bepaal.
Op die markfront, die teken BAL registró dalings van meer as 5% nadat die aanval bekend geword het, in 'n konteks van wydverspreide versigtigheid in die gemeenskap DeFiOntleders op die ketting het aanbeveel om interaksie met Balancer-poele te vermy totdat volledige tegniese inligting beskikbaar is.
Hierdie voorval dra by tot vorige episodes: in 2020'n Aanval het die hantering van deflasionêre tekens vir ongeveer uitgebuit. $500.000; in Augustus 2023 verliese van byna 1 millón as gevolg van 'n kwesbaarheid in versterkte swembaddens; en dieselfde jaar 'n DNS-aanval herlei na 'n webwerf van phishing, met 'n benaderde buit van $238.000.
Vir gebruikers van Spanje en die EUDie saak heropen die debat oor risikobestuur in saamgestelde protokolle en die behoefte aan agile oudits, gebruikersbeskermingsinstrumente en interprotokol-koördinering, in lyn met die Europese regulatoriese dryfkrag (Mika) na meer veeleisende veiligheidsstandaarde.
Met verliese reeds hierbo 128 miljard En met 'n aktiewe ondersoek aan die gang, bied die Balancer-episode verskeie lesse: die belangrikheid van robuuste toegangsbeheer in kritieke funksies, die voortdurende hersiening van ou kontrakte in V2en die voorbereiding van gekoördineerde reaksies—insluitend die opsie van Wit Hoed Belonings— om skade te verminder en vertroue te herstel.
Ek is 'n tegnologie-entoesias wat sy "geek"-belangstellings in 'n beroep verander het. Ek het meer as 10 jaar van my lewe bestee om die nuutste tegnologie te gebruik en uit pure nuuskierigheid met allerhande programme te peuter. Nou het ek gespesialiseer in rekenaartegnologie en videospeletjies. Dit is omdat ek al vir meer as 5 jaar vir verskeie webwerwe oor tegnologie en videospeletjies skryf en artikels skep wat poog om jou die inligting te gee wat jy nodig het in 'n taal wat vir almal verstaanbaar is.
As jy enige vrae het, strek my kennis van alles wat verband hou met die Windows-bedryfstelsel sowel as Android vir selfone. En my verbintenis is aan jou, ek is altyd bereid om 'n paar minute te spandeer en jou te help om enige vrae op te los wat jy in hierdie internetwêreld mag hê.