- Ztráty způsobené zneužitím Balanceru se z původních odhadů 70 milionů dolarů zvýšily na více než 128 milionů dolarů.
- Pravděpodobnou příčinou byla chyba v řízení přístupu ve V2, která umožňovala neoprávněné výběry.
- Ovlivnilo to několik sítí: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism a Polygon.
- Protokol nabízel 20% odměnu; token BAL klesl a Berachain zažil nouzové vypnutí.
El protokol decentralizovaných financí Balancer se zaregistroval jeden z jeho největších bezpečnostní incidenty do data, s útokem, o kterém se začalo hlásit kolem 70 milionů a že podle nejnovějších konsolidovaných údajů Snadno by to překročilo 128 milionů v aktivech odvedených do nových portfolií.
Přidělené finanční prostředky zahrnují osETH, WETH a wstETHa stáhli by se hlavně z bazény verze V2Škodlivá aktivita se rozšířila napříč několika sítěmi, zatímco token BAL Utrpěl intradenní poklesy a uživatelé čekali na oficiální potvrzení skutečného rozsahu incidentu.
Jak k útoku došlo
První analýzy naznačují, vadná kontrola přístupu ve funkci manageUserBalance nástroje Balancer V2Zranitelnost by vznikla v validateUserBalanceOpnesprávným porovnáváním msg.sender s jedním odesílatel poskytnuté uživatelem, což by umožnilo neoprávněné výběry prostřednictvím operace Druh_zůstatku_uživatele.VÝBĚR_INTERNAL.
Tento vektor otevřel dveře pro úmyslné aktéry pohyby vnitřní rovnováhy přímo ze smluv bez řádného povolení. Trezor V2 —centrální smlouva, která drží tokeny každého poolu — se dostala do centra pozornosti a ovlivnila nejen Balancer, ale i služby postavené na jeho architektuře.
Souběžně byly zjištěny následující vyprazdňování trezorů na sítích jako Sonic, polygon a základnaTo posiluje propojenou povahu ekosystému DeFi. Adresa operátora Začala rychle konsolidovat aktiva, čímž se zvyšuje riziko jeho následného zamlžení prostřednictvím mixéry nebo mosty mezi řetězy.
Specializované bezpečnostní týmy, včetně Decurity a analytiků dat v řetězci, nadále sledují tok finančních prostředků a potenciální řetězec transakcí s cílem profilování útočníka a přesné vymezení oblasti narušení.
Rozsah škod a jejich distribuce podle dodavatelských řetězců
Nejnovější odhady zvyšují celkový vyčerpaný objem na asi 128,64 milionů dolarů, s dominantní váhou Ethereum a významný dopad na několik sítí L2 a kompatibilních sítí. Bylo také potvrzeno, že Řepa FinanceDerivátový projekt utrpěl ztráty přesahující 3 millones.
- Ethereum: ~ 99,6 mil
- Berachain: ~ 12,86 mil
- Rozhodčí řízení: ~ 6,96 mil
- Base: ~ 4,01 mil
- Sonic: ~ 3,44 mil
- Optimismus: ~ 1,58 mil
- Polygon: ~ 232.350
Mezi vyčerpanými aktivy vynikaly následující: 6 850 ETH, 6.590 XNUMX WETH y 4.260 wstETH, přenesené v rychlém sledu do nová portfolia, což je vzorec konzistentní s útočníkem, který je obeznámen s logikou smluv a složením fondů.
Aby tým Balancer motivoval k návratnosti finančních prostředků, navrhl 20% odměna ve formátu bílý kloboukpodmíněno okamžitým navrácením zbývajícího kapitálu. V opačném případě bylo vydáno varování ohledně spolupráce s forenzní analýza blockchainu a úřady aby se identifikovala odpovědná osoba.
Dopad se rozšířil i na infrastrukturu: Berachain proveden nouzové zatčení a Těžké vidlice s cílem omezit dopad na konkrétní aktiva v jejím nativním DEXu se závazkem obnovit síť po navrácení dotčených finančních prostředků.
Reakce protokolu a dopady na trh
Tým uvedl, že bazény V2 byly ovlivněnyZatímco V3 zůstala v provozu a bez poškození a oznámil, že jeho technické a bezpečnostní oblasti prověřují prioritně s cílem určit opatření k omezení škod a možné cesty k záchraně.
Na trhu, token BAL registr pokles o více než 5 % poté, co se o útoku dozvědělo, v kontextu všeobecné opatrnosti ve společnosti DeFiAnalytici on-chain doporučili vyhnout se interakci s pooly Balancer, dokud nebudou k dispozici kompletní technické informace.
Tato událost navazuje na předchozí epizody: v 2020Útok zneužil manipulaci s deflačními tokeny po dobu přibližně Americký dolar 500.000; v Srpna 2023 ztráty téměř 1 milionů kvůli zranitelnosti v posílené bazénya téhož roku Útok na DNS přesměrován na webovou stránku Phishings přibližnou kořistí Americký dolar 238.000.
Pro uživatele Španělsko a EUPřípad znovu otevírá debatu o řízení rizik v kompozitních protokolech a potřebě agilní audity, nástroje na ochranu uživatelů a koordinaci mezi protokoly v souladu s evropským regulačním úsilím (Slída) směrem k náročnějším bezpečnostním standardům.
Se ztrátami již výše 128 millones A vzhledem k probíhajícímu aktivnímu vyšetřování nabízí epizoda Balancer několik ponaučení: důležitost robustní kontroly přístupu v kritických funkcích, neustálou kontrolu starších smluv v V2a přípravu koordinovaných reakcí – včetně možnosti Odměny za bílý klobouk— zmírnit škody a obnovit důvěru.
Jsem technologický nadšenec, který ze svých „geekovských“ zájmů udělal profesi. Strávil jsem více než 10 let svého života používáním nejmodernějších technologií a vrtáním se všemi druhy programů z čisté zvědavosti. Nyní se specializuji na počítačovou techniku a videohry. Je to proto, že již více než 5 let píšu pro různé webové stránky o technologiích a videohrách a tvořím články, které se vám snaží poskytnout informace, které potřebujete, v jazyce, který je srozumitelný všem.
Pokud máte nějaké dotazy, mé znalosti sahají od všeho, co se týká operačního systému Windows a také Androidu pro mobilní telefony. A můj závazek je vůči vám, jsem vždy ochoten strávit pár minut a pomoci vám vyřešit jakékoli otázky, které můžete mít v tomto internetovém světě.