- L'exploitation de la faille Balancer a fait grimper les pertes, passant d'estimations initiales de 70 millions de dollars à plus de 128 millions de dollars.
- La cause probable était une défaillance du contrôle d'accès dans la version V2 qui a permis des retraits non autorisés.
- Cela a affecté plusieurs réseaux : Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism et Polygon.
- Le protocole offrait une récompense de 20 % ; le jeton BAL a chuté et Berachain a subi un arrêt d'urgence.
El protocole de finance décentralisée Balancier s'est inscrit l'un de ses plus grands incidents de sécurité jusqu'à la date, avec une attaque qui a commencé à être signalée vers 70 milliard de dollars et que, selon les données consolidées les plus récentes, Il aurait facilement dépassé les 128 millions dans les actifs transférés vers de nouveaux portefeuilles.
Les fonds engagés comprennent osETH, WETH et wstETHet ils se seraient retirés principalement de pools de version V2L'activité malveillante s'est propagée sur plusieurs réseaux, tandis que le jeton BAL Il a subi des chutes intraday et les utilisateurs attendaient des confirmations officielles quant à l'ampleur réelle de l'incident.
Comment l'attaque s'est produite
Les premières analyses indiquent que contrôle d'accès défectueux dans la fonction manageUserBalance de Balancer V2La vulnérabilité proviendrait de validateUserBalanceOp, en comparant incorrectement expéditeur du message avec un op.sender fourni par l'utilisateur, ce qui aurait permis retraits non autorisés par l'opération Type d'opération d'équilibre utilisateur.WITHDRAW_INTERNAL.
Ce vecteur a ouvert la porte à des acteurs malveillants pour déchaîner mouvements d'équilibre internes directement à partir de contrats sans autorisations appropriées. Coffre-fort de V2 —le contrat central qui détient les jetons de chaque pool— a été mis en lumière, affectant non seulement Balancer, mais aussi des services construits sur son architecture.
Parallèlement, les éléments suivants ont été détectés vidage des coffres sur des réseaux comme Sonic, Polygon et BaseCela renforce l'interconnexion de l'écosystème DeFi. Adresse de l'opérateur Elle a rapidement commencé à consolider ses actifs, augmentant ainsi le risque de son obscurcissement ultérieur par mélangeurs ou ponts entre les chaînes.
Des équipes de sécurité spécialisées, notamment Decurity et des analystes de données on-chain, continuent de suivre les flux de fonds et la chaîne potentielle de transactions, dans le but de profiler l'attaquant et définir précisément la zone de la brèche.
Étendue des dégâts et répartition par les chaînes d'approvisionnement
Les dernières estimations portent le total drainé à environ 128,64 million de dollars, avec un poids dominant de Ethereum et un impact significatif sur plusieurs réseaux L2 et compatibles. Il a également été confirmé que Beets FinanceLe projet dérivé a subi des pertes supérieures à 3 milliards.
- Ethereum : ~ 99,6M
- Bérachain : ~ 12,86M
- Arbitre : ~ 6,96M
- Base: ~ 4,01M
- Sonique: ~ 3,44M
- Optimisme: ~ 1,58M
- Polygone: ~232 350
Parmi les actifs liquidés, les suivants se sont particulièrement distingués : 6.850 osETH, 6.590 HUMIDE y 4.260 wstETH, transférés en succession rapide à nouveaux portefeuilles, un schéma cohérent avec un attaquant connaissant la logique des contrats et la composition des pools.
Pour inciter au retour des fonds, l'équipe de Balancer a proposé un 20 % de récompense en format chapeau blancsous réserve de la restitution immédiate du capital restant. Dans le cas contraire, un avertissement a été émis concernant une éventuelle collaboration avec criminalistique et autorités en matière de blockchain identifier la personne responsable.
L'impact s'est également étendu aux infrastructures : Berachain exécuté un arrêt d'urgence et un fourche dure visant à limiter l'impact sur certains actifs de sa plateforme DEX native, avec l'engagement de rétablir le réseau après le recouvrement des fonds affectés.
Effets du protocole sur la réponse et le marché
L'équipe a indiqué que les piscines V2 ont été affectésalors que V3 est resté opérationnel et sans dommages, et a indiqué que ses services d'ingénierie et de sécurité menaient des investigations prioritaires afin de déterminer les mesures de confinement et les voies de rétablissement potentielles.
Sur le marché, le jeton BAL enregistrer des baisses de plus de 5 % après que l'attaque a été connue, dans un contexte de prudence généralisée au sein de la communauté DeFiLes analystes de la blockchain ont recommandé d'éviter toute interaction avec les pools Balancer jusqu'à ce que des informations techniques complètes soient disponibles.
Cet incident s'ajoute aux épisodes précédents : dans 2020Une attaque a exploité la gestion des jetons déflationnistes pendant environ 1 199 $; Dans Août 2023 des pertes de près de 1 million en raison d'une vulnérabilité dans piscines boostées; et cette même année un Attaque DNS redirigé vers le site web de hameçonnage, avec un butin approximatif de 1 199 $.
Pour les utilisateurs de L'Espagne et l'UECette affaire relance le débat sur la gestion des risques dans les protocoles composites et la nécessité de audits agiles, outils de protection des utilisateurs et la coordination inter-protocoles, conformément à la dynamique réglementaire européenne (Mica) vers des normes de sécurité plus exigeantes.
Avec des pertes déjà supérieures 128 milliards Alors qu'une enquête est en cours, l'épisode Balancer offre plusieurs enseignements : l'importance d'un contrôle d'accès robuste aux fonctions critiques, la révision constante des contrats existants dans V2et la préparation de réponses coordonnées, y compris l'option de Récompenses White Hat— pour atténuer les dégâts et rétablir la confiance.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.