- Balancer-udnyttelsen eskalerede fra oprindelige estimater på 70 millioner dollars til over 128 millioner dollars i tab.
- Den sandsynlige årsag var en adgangskontrolfejl i V2, der tillod uautoriserede hævninger.
- Det påvirkede flere netværk: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism og Polygon.
- Protokollen tilbød en belønning på 20%; BAL-tokenet faldt, og Berachain oplevede en nødlukning.
El decentraliseret finansprotokol balancer har registreret sig en af dens største sikkerhedshændelser indtil datoen, med et angreb, der begyndte at blive rapporteret omkring 70 million og at ifølge de seneste konsoliderede data, Det ville nemt have oversteget 128 millioner i aktiver drænet til nye porteføljer.
De tilsagnsgivende midler omfatter osETH, WETH og wstETHog de ville hovedsageligt have trukket sig tilbage fra puljer af version V2Den ondsindede aktivitet spredte sig på tværs af flere netværk, mens tokenen BAL Han led af fald i løbet af dagen og brugerne afventede officielle bekræftelser af hændelsens sande omfang.
Hvordan angrebet skete
Indledende analyser peger på en defekt adgangskontrol i funktionen manageUserBalance i Balancer V2Sårbarheden ville opstå i validereBrugerBalanceOpved at sammenligne forkert besked.afsender med en op.sender leveret af brugeren, hvilket ville have tilladt uautoriserede hævninger gennem operationen BrugerBalanceOpKind.WITHDRAW_INTERNAL.
Denne vektor åbnede døren for ondsindede aktørers løsrivelse indre balancebevægelser direkte fra kontrakter uden de nødvendige tilladelser. V2's hvælving —den centrale kontrakt, der indeholder tokensene i hver pulje— kom i fokus, hvilket ikke kun påvirkede Balancer, men også tjenester bygget på dens arkitektur.
Parallelt blev følgende opdaget tømninger af hvælvinger i netværk som f.eks Sonisk, polygon og baseDette forstærker DeFi-økosystemets sammenkoblede natur. Operatørens adresse Det begyndte hurtigt at konsolidere aktiver, hvilket øger risikoen for dens efterfølgende tilsløring gennem mixere eller broer mellem kæder.
Specialiserede sikkerhedsteams, herunder Decurity og on-chain dataanalytikere, fortsætter med at spore pengestrømmene og den potentielle transaktionskæde med det formål at profilering af angriberen og præcis definering af bruddets område.
Skadeomfang og fordeling via forsyningskæder
De seneste estimater hæver den samlede drænede mængde til omkring $ 128,64 millioner, med en dominerende vægt på Ethereum og en betydelig indvirkning på adskillige L2- og kompatible netværk. Det blev også bekræftet, at Rødbeder FinansDerivatprojektet led tab på over 3 millones.
- ethereum: ~ 99,6 mio
- Berachain: ~ 12,86 mio
- Arbitrum: ~ 6,96 mio
- Base: ~ 4,01 mio
- Sonic: ~ 3,44 mio
- Optimisme: ~ 1,58 mio
- Polygon: ~ 232.350
Blandt de udtømte aktiver skilte følgende sig ud: 6.850 osETH, 6.590 WETH y 4.260 wstETH, overført i hurtig rækkefølge til nye porteføljer, et mønster, der er i overensstemmelse med en angriber, der har kendskab til kontrakternes logik og puljernes sammensætning.
For at fremme tilbagebetaling af midler fremsatte Balancer-teamet en 20% belønning i format hvid hatbetinget af øjeblikkelig tilbagelevering af den resterende kapital. Ellers blev der udstedt en advarsel vedrørende samarbejde med blockchain-forensik og myndigheder at identificere den ansvarlige person.
Virkningen strakte sig også til infrastrukturen: Berachain henrettet en nødanholdelse og en hård gaffel med det formål at begrænse virkningen på specifikke aktiver i dens native DEX, med en forpligtelse til at genoptage netværket efter genopretningen af de berørte fonde.
Protokolrespons og markedseffekter
Holdet angav, at bassinerne V2 blev påvirketMens V3 forblev operationel og uden skader, og rapporterede, at dens ingeniør- og sikkerhedsområder prioriterer undersøgelser for at fastlægge inddæmningsforanstaltninger og potentielle bjærgningsruter.
På markedsfronten, tokenen BAL register fald på mere end 5% efter at angrebet blev kendt, i en situation med udbredt forsigtighed i samfundet DefiOn-chain-analytikere anbefalede at undgå at interagere med Balancer-pools, indtil fuldstændige tekniske oplysninger er tilgængelige.
Denne hændelse føjer sig til tidligere episoder: i 2020Et angreb udnyttede håndteringen af deflationære tokens i omkring Dollar 500.000; I August 2023 tab på næsten 1 million på grund af en sårbarhed i boostede pools; og samme år en DNS-angreb omdirigeret til en hjemmeside for Phishing, med et omtrentligt bytte på Dollar 238.000.
For brugere af Spanien og EUSagen genåbner debatten om risikostyring i sammensatte protokoller og behovet for agile revisioner, værktøjer til brugerbeskyttelse og koordinering mellem protokoller i overensstemmelse med den europæiske reguleringsindsats (Glimmer) mod strengere sikkerhedsstandarder.
Med tab allerede over 128 millones Og med en aktiv undersøgelse i gang, tilbyder Balancer-episoden adskillige lektioner: vigtigheden af robust adgangskontrol i kritiske funktioner, den konstante gennemgang af ældre kontrakter i V2og forberedelsen af koordinerede reaktioner – herunder muligheden for White Hat-belønninger— for at afbøde skader og genoprette tillid.
Jeg er en teknologientusiast, der har vendt sine "nørde" interesser til et erhverv. Jeg har brugt mere end 10 år af mit liv på at bruge avanceret teknologi og pille ved alle slags programmer af ren nysgerrighed. Nu har jeg specialiseret mig i computerteknologi og videospil. Dette skyldes, at jeg i mere end 5 år har skrevet til forskellige hjemmesider om teknologi og videospil, og lavet artikler, der søger at give dig den information, du har brug for, på et sprog, der er forståeligt for alle.
Har du spørgsmål, så spænder min viden fra alt relateret til Windows styresystemet samt Android til mobiltelefoner. Og mit engagement er over for dig, jeg er altid villig til at bruge et par minutter og hjælpe dig med at løse eventuelle spørgsmål, du måtte have i denne internetverden.