- Cynyddodd y camfanteisio Balancer o amcangyfrifon cychwynnol o $70M i dros $128M mewn colledion.
- Yr achos tebygol oedd methiant rheoli mynediad yn V2 a oedd yn caniatáu tynnu arian yn ôl heb awdurdod.
- Effeithiodd ar sawl rhwydwaith: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism, a Polygon.
- Roedd y protocol yn cynnig gwobr o 20%; syrthiodd y tocyn BAL a phrofodd Berachain gau i lawr mewn argyfwng.
El protocol cyllid datganoledig Cydbwysydd wedi cofrestru un o'i fwyaf digwyddiadau diogelwch tan y dyddiad, gydag ymosodiad a ddechreuodd gael ei adrodd o gwmpas 70 miliwn a hynny, yn ôl y data cyfunol diweddaraf, Byddai wedi bod yn fwy na 128 miliwn yn hawdd. mewn asedau a ddraeniwyd i bortffolios newydd.
Mae'r cronfeydd a neilltuwyd yn cynnwys osETH, WETH a wstETHa byddent wedi tynnu'n ôl yn bennaf o pyllau o fersiwn V2Lledaenodd y gweithgaredd maleisus ar draws sawl rhwydwaith, tra bod y tocyn BAL Dioddefodd gwympiadau yn ystod y dydd ac roedd defnyddwyr yn aros am gadarnhadau swyddogol ynghylch gwir faint y digwyddiad.
Sut ddigwyddodd yr ymosodiad
Mae dadansoddiadau cychwynnol yn awgrymu a rheolaeth mynediad diffygiol yn y swyddogaeth rheoliCydbwyseddUser o Balancer V2Byddai'r bregusrwydd yn tarddu o dilysuDefnyddiwrBalansOp, drwy gymharu'n anghywir msg.sender gyda anfonwr gweithredol a ddarparwyd gan y defnyddiwr, a fyddai wedi caniatáu tynnu'n ôl heb awdurdod drwy'r llawdriniaeth MathCydbwyseddDefnyddiwr.WITHDRAW_INTERNAL.
Agorodd y fector hwn y drws i actorion maleisus eu rhyddhau symudiadau cydbwysedd mewnol yn uniongyrchol o gontractau heb ganiatâd priodol. Siambr V2 —y contract canolog sy'n dal tocynnau pob pwll— daeth i ffocws, gan effeithio nid yn unig ar Balancer ond hefyd gwasanaethau wedi'u hadeiladu ar ei bensaernïaeth.
Ar yr un pryd, canfuwyd y canlynol gwagio'r cromenni ar rwydweithiau fel Sonig, Polygon a SylfaenMae hyn yn atgyfnerthu natur gydgysylltiedig ecosystem DeFi. Cyfeiriad y gweithredwr Dechreuodd gydgrynhoi asedau'n gyflym, gan gynyddu'r risg o'i gymysgu wedyn drwy cymysgwyr neu bontydd rhwng cadwyni.
Mae timau diogelwch arbenigol, gan gynnwys Decurity a dadansoddwyr data ar y gadwyn, yn parhau i olrhain llif arian a'r gadwyn bosibl o drafodion, gyda'r nod o proffilio'r ymosodwr a diffinio ardal y toriad yn fanwl gywir.
Graddfa'r difrod a'i ddosbarthiad yn ôl cadwyni cyflenwi
Mae'r amcangyfrifon diweddaraf yn codi'r cyfanswm a ddraeniwyd i tua 128,64 miliwn o ddoleri, gyda phwysau amlwg o Ethereum ac effaith sylweddol ar sawl rhwydwaith L2 a rhwydweithiau cydnaws. Cadarnhawyd hefyd fod Cyllid BeetsDioddefodd y prosiect deilliadol golledion sy'n fwy na Millones 3.
- Ethereum: ~ 99,6M
- Berachain: ~ 12,86M
- Arbitrwm: ~ 6,96M
- Sylfaen: ~ 4,01M
- sonig: ~ 3,44M
- Optimistiaeth: ~ 1,58M
- Polygon: ~ 232.350
Ymhlith yr asedau a gafodd eu gwagio, roedd y canlynol yn sefyll allan: 6.850 osETH, 6.590 WETH y 4.260 wstETH, wedi'i drosglwyddo'n gyflym i portffolios newydd, patrwm sy'n gyson ag ymosodwr sy'n wybodus am resymeg y contractau a chyfansoddiad y pyllau.
Er mwyn rhoi cymhelliant i ddychwelyd arian, cyflwynodd tîm Balancer Gwobr o 20%. mewn fformat het wenyn amodol ar adfer y cyfalaf sy'n weddill ar unwaith. Fel arall, cyhoeddwyd rhybudd ynghylch cydweithio â fforensig blockchain ac awdurdodau i adnabod y person sy'n gyfrifol.
Roedd yr effaith hefyd yn ymestyn i'r seilwaith: Berachain gweithredu arestio brys a fforch caled gyda'r nod o gyfyngu'r effaith ar asedau penodol yn ei DEX brodorol, gydag ymrwymiad i ailddechrau'r rhwydwaith ar ôl adfer y cronfeydd yr effeithiwyd arnynt.
Ymateb protocol ac effeithiau'r farchnad
Nododd y tîm fod y pyllau nofio Effeithiwyd ar V2Er Parhaodd V3 i weithredu a heb ddifrod, ac adroddodd fod ei feysydd peirianneg a diogelwch yn ymchwilio gyda blaenoriaeth i bennu mesurau cyfyngu a llwybrau adfer posibl.
Ar flaen y farchnad, y tocyn BAL cofrestrfa gostyngiadau o fwy na 5% ar ôl i'r ymosodiad ddod yn hysbys, yng nghyd-destun rhybudd eang yn y gymuned DefiArgymhellodd dadansoddwyr ar y gadwyn osgoi rhyngweithio â phyllau Balancer nes bod gwybodaeth dechnegol gyflawn ar gael.
Mae'r digwyddiad hwn yn ychwanegu at benodau blaenorol: yn 2020Manteisiodd ymosodiad ar drin tocynnau dadchwyddiant am tua Ddoler US 500.000; cy Awst 2023 colledion o bron 1 miliwn oherwydd bregusrwydd yn pyllau wedi'u hybu; a'r un flwyddyn honno a Ymosodiad DNS wedi'i ailgyfeirio i wefan o Gwe-rwydo, gyda ysbail bras o Ddoler US 238.000.
Ar gyfer defnyddwyr Sbaen a'r UEMae'r achos yn ailagor y ddadl ar reoli risg mewn protocolau cyfansawdd a'r angen am archwiliadau ystwyth, offer amddiffyn defnyddwyr a chydlynu rhyng-brotocolau, yn unol â'r ymgyrch reoleiddio Ewropeaidd (Mica) tuag at safonau diogelwch mwy heriol.
Gyda chollfeydd eisoes uwchben Millones 128 A chyda ymchwiliad gweithredol ar y gweill, mae pennod Balancer yn cynnig sawl gwers: pwysigrwydd rheolaeth mynediad gadarn mewn swyddogaethau hanfodol, adolygiad cyson o gontractau etifeddiaeth yn V2a pharatoi ymatebion cydlynol—gan gynnwys yr opsiwn o Gwobrau Het Wen— i liniaru difrod ac adfer ymddiriedaeth.
Rwy'n frwd dros dechnoleg sydd wedi troi ei ddiddordebau "geek" yn broffesiwn. Rwyf wedi treulio mwy na 10 mlynedd o fy mywyd yn defnyddio technoleg flaengar ac yn tinkering gyda phob math o raglenni allan o chwilfrydedd pur. Nawr rydw i wedi arbenigo mewn technoleg gyfrifiadurol a gemau fideo. Mae hyn oherwydd ers mwy na 5 mlynedd rwyf wedi bod yn ysgrifennu ar gyfer gwefannau amrywiol ar dechnoleg a gemau fideo, gan greu erthyglau sy'n ceisio rhoi'r wybodaeth sydd ei hangen arnoch mewn iaith sy'n ddealladwy i bawb.
Os oes gennych unrhyw gwestiynau, mae fy ngwybodaeth yn amrywio o bopeth sy'n ymwneud â system weithredu Windows yn ogystal ag Android ar gyfer ffonau symudol. Ac mae fy ymrwymiad i chi, rwyf bob amser yn barod i dreulio ychydig funudau a'ch helpu i ddatrys unrhyw gwestiynau sydd gennych yn y byd rhyngrwyd hwn.