- L'exploit di Balancer hè cresciutu da e stime iniziali di $ 70 milioni à più di $ 128 milioni di perdite.
- A causa prubabile era un fiascu di cuntrollu d'accessu in V2 chì hà permessu prelievi micca autorizati.
- Hà affettatu parechje rete: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism è Polygon.
- U protocolu hà offertu una ricumpensa di u 20%; u gettone BAL hè cascatu è Berachain hà subitu un arrestu d'emergenza.
El protocolu di finanza decentralizata Balancer hà registratu unu di i so più grandi incidenti di sicurità finu à a data, cù un attaccu chì hà cuminciatu à esse signalatu intornu 70 milioni di dollari è chì, secondu i dati consolidati più recenti, Averia facilmente superatu i 128 milioni in attivi drenati in novi portafogli.
I fondi impegnati includenu osETH, WETH è wstETHè si sarianu ritirati principalmente da piscine di versione V2L'attività maligna si sparse in parechje rete, mentre chì u token BAL Hà patitu cadute intraday è l'utilizatori aspittavanu cunferme ufficiali nantu à a vera portata di l'incidentu.
Cumu hè accadutu l'attaccu
L'analisi iniziali indicanu un cuntrollu d'accessu difettuosu in a funzione manageUserBalance di Balancer V2A vulnerabilità averebbe origine in validateUserBalanceOp, paragunendu in modu incorrectu msg.sender con un mittente op. furnitu da l'utilizatore, chì averia permessu ritiri micca autorizati per mezu di l'operazione Tipu d'EquilibriuUtente.RITIRU_INTERNU.
Stu vettore hà apertu a porta à l'attori maliziosi di scatenà muvimenti di equilibriu internu direttamente da i cuntratti senza i permessi adatti. Volta di V2 —u cuntrattu cintrali chì cuntene i gettoni di ogni pool— hè ghjuntu in focus, affettendu micca solu Balancer ma ancu servizii custruiti nantu à a so architettura.
In parallelu, sò stati rilevati i seguenti svuotamenti di caveau nantu à e rete cum'è Sonic, Poligonu è BaseQuestu rinforza a natura interconnessa di l'ecosistema DeFi. L'indirizzu di l'operatore Hà cuminciatu à cunsulidà l'assi rapidamente, aumentendu u risicu di a so successiva offuscazione per via di mixer o ponti trà e catene.
E squadre di sicurezza specializate, cumprese Decurity è l'analisti di dati in catena, cuntinueghjanu à seguità u flussu di fondi è a putenziale catena di transazzioni, cù l'obiettivu di prufilendu l'attaccante è definendu precisamente a zona di a violazione.
Entità di i danni è distribuzione per e catene di furnimentu
L'ultime stime portanu u tutale drenatu à circa 128,64 milioni di dollari, cù un pesu dominante di Ethereum è un impattu significativu annantu à parechje rete L2 è cumpatibili. Hè statu ancu cunfirmatu chì Finanza di bietoleU prugettu derivatu hà subitu perdite superiori à 3 miliardi.
- Ethereum: ~ 99,6M
- Berachain: ~ 12,86M
- Arbitrum: ~ 6,96M
- Base: ~ 4,01M
- Sonic: ~ 3,44M
- Optimism: ~ 1,58M
- Polygon: ~232.350
Trà l'assi svuotati, si sò distinti i seguenti: 6.850 osETH, 6.590 WETH y 4.260 wstETH, trasferitu in rapida successione à novi portafogli, un mudellu coerente cù un attaccante chì cunnosce a logica di i cuntratti è a cumpusizione di i pools.
Per incentivà u ritornu di i fondi, a squadra Balancer hà prupostu un 20% di ricumpensa en formato white hatcundiziunatu à a restituzione immediata di u capitale restante. Altrimenti, hè statu emessu un avvertimentu riguardu à a cullaburazione cù forensica è autorità di blockchain per identificà a persona rispunsevule.
L'impattu s'hè ancu allargatu à l'infrastruttura: Berachain eseguitu un arrestu d'urgenza è un hard fork destinatu à limità l'impattu nantu à attivi specifichi in u so DEX nativu, cù un impegnu à ripiglià a rete dopu a recuperazione di i fondi affettati.
Risposta di u protocolu è effetti di u mercatu
A squadra hà indicatu chì e piscine V2 sò stati affettatimentre V3 hè rimasu operativu è senza danni, è hà dettu chì e so zone d'ingegneria è di sicurezza stanu investigendu cù priorità per determinà e misure di cuntinimentu è e potenziali vie di ricuperazione.
À u fronte di u mercatu, u token BAL registró calate di più di 5% dopu chì l'attaccu hè diventatu cunnisciutu, in un cuntestu di prudenza generalizzata in a cumunità DeFiL'analisti in catena anu cunsigliatu d'evità l'interazzione cù i pool di Balancer finu à chì l'infurmazioni tecniche cumplete sianu dispunibili.
Questu incidente si aghjusta à l'episodi precedenti: in 2020Un attaccu hà sfruttatu a gestione di gettoni deflazionistici per circa 500.000 dólares; fr agosto de 2023 perdite di quasi 1 millón per via di una vulnerabilità in piscine rinfurzate; è quellu stessu annu Attaccu DNS ridirettu à un situ web di phishing, cù un bottino apprussimativu di 238.000 dólares.
Para usuarios de Spagna è a UEU casu riapre u dibattitu nantu à a gestione di u risicu in i protokolli cumposti è a necessità di audit agili, strumenti di prutezzione di l'utilizatori è a coordinazione interprotocolu, in cunfurmità cù l'impulsu regulatoriu europeu (MiCA) versu norme di sicurezza più esigenti.
Cù perdite digià sopra 128 miliardi È cù una investigazione attiva in corsu, l'episodiu di Balancer offre parechje lezioni: l'impurtanza di un cuntrollu d'accessu robustu in e funzioni critiche, a revisione costante di i cuntratti legacy in V2è a preparazione di risposte coordinate, cumprese l'opzione di Ricompense di Cappelli Bianchi— per mitigà i danni è ristabilisce a fiducia.
Sò un entusiasta di a tecnulugia chì hà trasfurmatu i so interessi "geek" in una professione. Aghju passatu più di 10 anni di a mo vita cù a tecnulugia d'avanguardia è scacciendu ogni tipu di prugrammi per pura curiosità. Avà sò specializatu in tecnulugia di computer è video games. Questu hè chì dapoi più di 5 anni aghju scrittu per diversi siti web nantu à a tecnulugia è i video games, creendu articuli chì cercanu di dà l'infurmazioni chì avete bisognu in una lingua chì hè comprensibile à tutti.
Sì avete qualchì quistione, a mo cunniscenza varieghja da tuttu ciò chì riguarda u sistema operatore Windows è ancu Android per i telefunini. È u mo impegnu hè di voi, sò sempre dispostu à passà uni pochi di minuti è aiutavvi à risolve tutte e dumande chì pudete avè in questu mondu Internet.