- L'exploit di Balancer hè cresciutu da e stime iniziali di $ 70 milioni à più di $ 128 milioni di perdite.
- A causa prubabile era un fiascu di cuntrollu d'accessu in V2 chì hà permessu prelievi micca autorizati.
- Hà affettatu parechje rete: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism è Polygon.
- U protocolu hà offertu una ricumpensa di u 20%; u gettone BAL hè cascatu è Berachain hà subitu un arrestu d'emergenza.
El protocolu di finanza decentralizata Equilibratore hà registratu unu di i so più grandi incidenti di sicurità finu à a data, cù un attaccu chì hà cuminciatu à esse signalatu intornu 70 million dolares è chì, secondu i dati consolidati più recenti, Averia facilmente superatu i 128 milioni in attivi drenati in novi portafogli.
I fondi impegnati includenu osETH, WETH è wstETHè si sarianu ritirati principalmente da piscine di versione V2L'attività maligna si sparse in parechje rete, mentre chì u token BAL Hà patitu cadute intraday è l'utilizatori aspittavanu cunferme ufficiali nantu à a vera portata di l'incidentu.
Cumu hè accadutu l'attaccu
L'analisi iniziali indicanu un cuntrollu d'accessu difettuosu in a funzione manageUserBalance di Balancer V2A vulnerabilità averebbe origine in validateUserBalanceOp, paragunendu in modu incorrectu msg.sender cù a mittente op. furnitu da l'utilizatore, chì averia permessu ritiri micca autorizati per mezu di l'operazione Tipu d'EquilibriuUtente.RITIRU_INTERNU.
Stu vettore hà apertu a porta à l'attori maliziosi di scatenà muvimenti di equilibriu internu direttamente da i cuntratti senza i permessi adatti. Volta di V2 —u cuntrattu cintrali chì cuntene i gettoni di ogni pool— hè ghjuntu in focus, affettendu micca solu Balancer ma ancu servizii custruiti nantu à a so architettura.
In parallelu, sò stati rilevati i seguenti svuotamenti di caveau nantu à e rete cum'è Sonic, Poligonu è BaseQuestu rinforza a natura interconnessa di l'ecosistema DeFi. L'indirizzu di l'operatore Hà cuminciatu à cunsulidà l'assi rapidamente, aumentendu u risicu di a so successiva offuscazione per via di mixer o ponti trà e catene.
E squadre di sicurezza specializate, cumprese Decurity è l'analisti di dati in catena, cuntinueghjanu à seguità u flussu di fondi è a putenziale catena di transazzioni, cù l'obiettivu di prufilendu l'attaccante è definendu precisamente a zona di a violazione.
Entità di i danni è distribuzione per e catene di furnimentu
L'ultime stime portanu u tutale drenatu à circa 128,64 milioni di dollari, cù un pesu dominante di Ethereu è un impattu significativu annantu à parechje rete L2 è cumpatibili. Hè statu ancu cunfirmatu chì Finanza di bietoleU prugettu derivatu hà subitu perdite superiori à 3 milioni.
- Ethereu: ~ 99,6M
- Berachain: ~ 12,86M
- Arbitrum : ~ 6,96M
- Base: ~ 4,01M
- Sonic: ~ 3,44M
- Ottimisimu: ~ 1,58M
- Poligonu: ~ 232.350
Trà l'assi svuotati, si sò distinti i seguenti: 6.850 osETH, 6.590 WETH y 4.260 wstETH, trasferitu in rapida successione à novi portafogli, un mudellu coerente cù un attaccante chì cunnosce a logica di i cuntratti è a cumpusizione di i pools.
Per incentivà u ritornu di i fondi, a squadra Balancer hà prupostu un 20% di ricumpensa in furmatu cappellu biancucundiziunatu à a restituzione immediata di u capitale restante. Altrimenti, hè statu emessu un avvertimentu riguardu à a cullaburazione cù forensica è autorità di blockchain per identificà a persona rispunsevule.
L'impattu s'hè ancu allargatu à l'infrastruttura: Berachain eseguitu un arrestu d'urgenza e a forti duru destinatu à limità l'impattu nantu à attivi specifichi in u so DEX nativu, cù un impegnu à ripiglià a rete dopu a recuperazione di i fondi affettati.
Risposta di u protocolu è effetti di u mercatu
A squadra hà indicatu chì e piscine V2 sò stati affettatimentre V3 hè rimasu operativu è senza danni, è hà dettu chì e so zone d'ingegneria è di sicurezza stanu investigendu cù priorità per determinà e misure di cuntinimentu è e potenziali vie di ricuperazione.
À u fronte di u mercatu, u token BAL rigistru calate di più di 5% dopu chì l'attaccu hè diventatu cunnisciutu, in un cuntestu di prudenza generalizzata in a cumunità DefiL'analisti in catena anu cunsigliatu d'evità l'interazzione cù i pool di Balancer finu à chì l'infurmazioni tecniche cumplete sianu dispunibili.
Questu incidente si aghjusta à l'episodi precedenti: in 2020Un attaccu hà sfruttatu a gestione di gettoni deflazionistici per circa Divisa 500.000; fr Aostu 2023 perdite di quasi 1 millione per via di una vulnerabilità in piscine rinfurzate; è quellu stessu annu Attaccu DNS ridirettu à un situ web di phishing, cù un bottino apprussimativu di Divisa 238.000.
Per l'utilizatori di Spagna è a UEU casu riapre u dibattitu nantu à a gestione di u risicu in i protokolli cumposti è a necessità di audit agili, strumenti di prutezzione di l'utilizatori è a coordinazione interprotocolu, in cunfurmità cù l'impulsu regulatoriu europeu (Mica) versu norme di sicurezza più esigenti.
Cù perdite digià sopra 128 milioni È cù una investigazione attiva in corsu, l'episodiu di Balancer offre parechje lezioni: l'impurtanza di un cuntrollu d'accessu robustu in e funzioni critiche, a revisione costante di i cuntratti legacy in V2è a preparazione di risposte coordinate, cumprese l'opzione di Ricompense di Cappelli Bianchi— per mitigà i danni è ristabilisce a fiducia.
Sò un entusiasta di a tecnulugia chì hà trasfurmatu i so interessi "geek" in una professione. Aghju passatu più di 10 anni di a mo vita cù a tecnulugia d'avanguardia è scacciendu ogni tipu di prugrammi per pura curiosità. Avà sò specializatu in tecnulugia di computer è video games. Questu hè chì dapoi più di 5 anni aghju scrittu per diversi siti web nantu à a tecnulugia è i video games, creendu articuli chì cercanu di dà l'infurmazioni chì avete bisognu in una lingua chì hè comprensibile à tutti.
Sì avete qualchì quistione, a mo cunniscenza varieghja da tuttu ciò chì riguarda u sistema operatore Windows è ancu Android per i telefunini. È u mo impegnu hè di voi, sò sempre dispostu à passà uni pochi di minuti è aiutavvi à risolve tutte e dumande chì pudete avè in questu mondu Internet.