اکسپلویت متعادل‌کننده: از ۷۰ میلیون مورد حمله به بیش از ۱۲۸ میلیون مورد

خسارت ناشی از سوءاستفاده از Balancer از تخمین‌های اولیه ۷۰ میلیون دلار به بیش از ۱۲۸ میلیون دلار افزایش یافت.
علت احتمالی، نقص کنترل دسترسی در V2 بود که امکان برداشت‌های غیرمجاز را فراهم می‌کرد.
این حمله چندین شبکه را تحت تأثیر قرار داد: اتریوم، براچین، آربیتروم، بیس، سونیک، اپتیمیسم و پولیگان.
این پروتکل ۲۰٪ پاداش ارائه می‌داد؛ توکن BAL سقوط کرد و Berachain دچار قطعی اضطراری شد.

El پروتکل مالی غیرمتمرکز تعادل ثبت نام کرده است یکی از بزرگترین‌های آن حوادث امنیتی تا تاریخبا حمله‌ای که گزارش‌هایش در اطراف شروع شد 70 میلیون و اینکه، طبق جدیدترین داده‌های تلفیقی، به راحتی از ۱۲۸ میلیون نفر فراتر می‌رفت در دارایی‌هایی که به پرتفوی‌های جدید منتقل شده‌اند.

وجوه تعهد شده شامل موارد زیر است osETH، WETH و wstETHو آنها عمدتاً از [کشورهای دیگر] عقب‌نشینی می‌کردند مجموعه‌های نسخه V2فعالیت مخرب در چندین شبکه پخش شد، در حالی که توکن BAL او دچار افت قیمت روزانه شد و کاربران منتظر تأیید رسمی در مورد میزان واقعی حادثه بودند.

چگونه حمله اتفاق افتاد

حمله به استخرهای بالانسر نسخه ۲

تحلیل‌های اولیه نشان می‌دهد کنترل دسترسی معیوب در تابع manageUserBalance از Balancer V2این آسیب‌پذیری از کجا سرچشمه می‌گیرد؟ اعتبارسنجی کاربرمتعادل عملیاتبا مقایسه نادرست msg.sender با فرستنده عملیاتی ارائه شده توسط کاربر، که اجازه می‌داد برداشت‌های غیرمجاز از طریق عملیات کاربرBalanceOpKind.WITHDRAW_INTERNAL.

این عامل، راه را برای نفوذ عوامل مخرب باز کرد. حرکات تعادلی داخلی مستقیماً از قراردادها بدون مجوزهای مناسب. خزانه V2 -قرارداد مرکزی که توکن‌های هر استخر را در خود جای داده است- مورد توجه قرار گرفت و نه تنها Balancer، بلکه ... را نیز تحت تأثیر قرار داد. سرویس‌های ساخته شده بر اساس معماری آن.

محتوای اختصاصی - اینجا را کلیک کنید چگونه یک کاربر را در پلتفرم Gumroad گزارش کنیم؟

به موازات آن، موارد زیر شناسایی شدند تخلیه خزانه در شبکه‌هایی مانند سونیک، پولیگان و بیساین امر ماهیت به هم پیوسته اکوسیستم DeFi را تقویت می‌کند. آدرس اپراتور به سرعت شروع به تجمیع دارایی‌ها کردو خطر مبهم شدن بعدی آن را از طریق ... افزایش می‌دهد. میکسرها یا پل‌ها بین زنجیرها.

تیم‌های امنیتی تخصصی، از جمله Decurity و تحلیلگران داده‌های درون زنجیره‌ای، همچنان به ردیابی جریان وجوه و زنجیره احتمالی تراکنش‌ها ادامه می‌دهند، با هدف شناسایی مهاجم و تعریف دقیق ناحیه نفوذ.

میزان خسارت و توزیع آن توسط زنجیره‌های تأمین

تأثیر چند شبکه‌ای اکسپلویت Balancer

آخرین برآوردها، مجموع آب‌های تخلیه‌شده را به ... افزایش می‌دهد. حدود 128,64 میلیون دلاربا وزن غالب Ethereum و تأثیر قابل توجهی بر چندین شبکه L2 و سازگار. همچنین تأیید شد که تامین مالی چغندرپروژه مشتقه متحمل ضررهایی بیش از millones 3.

اتریم: 99,6 میلیون پوند
براچین: 12,86 میلیون پوند
داوری: 6,96 میلیون پوند
پایه: 4,01 میلیون پوند
صوتی: 3,44 میلیون پوند
خوش بینی: 1,58 میلیون پوند
چند ضلعی: ~ 232.350

در میان دارایی‌های تخلیه‌شده، موارد زیر برجسته بودند: ۶.۸۵۰ osETH, 6.590 وزن y 4.260 wstETH، به سرعت و پشت سر هم منتقل شد به نمونه کارهای جدید، الگویی سازگار با مهاجمی که از منطق قراردادها و ترکیب استخرها آگاه است.

محتوای اختصاصی - اینجا را کلیک کنید آیا دانلود آنتی ویروس Panda Free امن است؟

برای ایجاد انگیزه در بازگشت سرمایه، تیم بالانسر طرحی را ارائه داد 20 درصد پاداش در فرمت کلاه سفیدمشروط به استرداد فوری سرمایه باقیمانده. در غیر این صورت، اخطاری در مورد همکاری با ... صادر شد. پزشکی قانونی بلاکچین و مقامات تا فرد مسئول مشخص شود.

این تأثیر به زیرساخت‌ها نیز گسترش یافت: براچین اعدام کرد دستگیری اضطراری و چنگال سخت با هدف محدود کردن تأثیر بر دارایی‌های خاص در صرافی غیرمتمرکز بومی خود، با تعهد به از سرگیری شبکه پس از بازیابی وجوه آسیب‌دیده.

واکنش پروتکل و اثرات بازار

سوءاستفاده از بالانسر و ضررهای ناشی از ارزهای دیجیتال

این تیم نشان داد که استخرها V2 تحت تأثیر قرار گرفتدر حین V3 عملیاتی باقی ماند و بدون خسارت، و گزارش داد که حوزه‌های مهندسی و ایمنی آن با اولویت در حال بررسی هستند تا اقدامات مهار و مسیرهای بالقوه بازیابی را تعیین کنند.

در بازار، توکن BAL ثبت کاهش بیش از ۵ درصدی پس از اعلام حملهدر شرایطی که احتیاط گسترده‌ای در جامعه وجود دارد DEFIتحلیلگران درون زنجیره‌ای توصیه کردند تا زمانی که اطلاعات فنی کامل در دسترس قرار نگرفته است، از تعامل با استخرهای Balancer خودداری شود.

محتوای اختصاصی - اینجا را کلیک کنید چگونه Malwarebytes Anti-Malware را راه اندازی کنم؟

این حادثه به قسمت‌های قبلی اضافه می‌شود: در 2020یک حمله از مدیریت توکن‌های ضدتورمی برای حدود ... سوءاستفاده کرد. دلار در 500.000 آمریکا؛ به آگوست 2023 ضررهای تقریباً 1 میلیون به دلیل آسیب‌پذیری در استخرهای تقویت‌شدهو همان سال یک حمله DNS به وب‌سایتی هدایت شد فیشینگبا غنیمتی تقریبی از دلار در 238.000 آمریکا.

برای کاربران اسپانیا و اتحادیه اروپااین پرونده، بحث در مورد مدیریت ریسک در پروتکل‌های ترکیبی و نیاز به ... را مجدداً مطرح می‌کند. ممیزی‌های چابک, ابزارهای محافظت از کاربر و هماهنگی بین پروتکلی، مطابق با روند نظارتی اروپا (میکا) به سمت استانداردهای ایمنی سختگیرانه‌تر.

با ضررهایی که از قبل بالاتر رفته‌اند millones 128 و با توجه به تحقیقات فعالی که در حال انجام است، ماجرای Balancer درس‌های متعددی ارائه می‌دهد: اهمیت کنترل دسترسی قوی در عملکردهای حیاتی، بررسی مداوم قراردادهای قدیمی در V2و آماده‌سازی پاسخ‌های هماهنگ - از جمله گزینه‌ی جوایز کلاه سفید- برای کاهش آسیب و بازگرداندن اعتماد.

مقاله مرتبط:

حمله باج‌افزاری فرودگاه‌های اروپایی را فلج کرده است: صف‌ها، لغو پروازها و ثبت نام‌های کاغذی.

آلبرتو ناوارو

من یک علاقه مند به فناوری هستم که علایق "گیک" خود را به یک حرفه تبدیل کرده ام. من بیش از 10 سال از زندگی خود را صرف استفاده از فناوری های پیشرفته و سرهم بندی کردن انواع برنامه ها از روی کنجکاوی کرده ام. اکنون در زمینه فناوری رایانه و بازی های ویدیویی تخصص دارم. این به این دلیل است که بیش از 5 سال است که برای وب سایت های مختلف در زمینه فناوری و بازی های ویدیویی می نویسم و مقالاتی را ایجاد می کنم که به دنبال ارائه اطلاعات مورد نیاز شما به زبانی قابل فهم برای همه هستند.

اگر سوالی دارید، دانش من از همه چیز مربوط به سیستم عامل ویندوز و همچنین اندروید برای تلفن های همراه است. و تعهد من به شماست، من همیشه حاضرم چند دقیقه وقت بگذارم و به شما کمک کنم تا هر سوالی را که ممکن است در این دنیای اینترنتی داشته باشید حل کنید.