- Eksploitasi Balancer meningkat dari estimasi awal $70 juta menjadi lebih dari $128 juta kerugian.
- Kemungkinan penyebabnya adalah kegagalan kontrol akses di V2 yang memungkinkan penarikan tidak sah.
- Ini memengaruhi beberapa jaringan: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism, dan Polygon.
- Protokol menawarkan hadiah 20%; token BAL jatuh dan Berachain mengalami penutupan darurat.
El protokol keuangan terdesentralisasi Balancer telah terdaftar salah satu yang terbesar insiden keamanan sampai tanggal tersebut, dengan serangan yang mulai dilaporkan sekitar $70 juta dan bahwa, menurut data konsolidasi terbaru, Jumlahnya bisa dengan mudah melampaui 128 juta dalam aset yang dialirkan ke portofolio baru.
Dana yang dikomitmenkan meliputi: osETH, WETH dan wstETHdan mereka akan menarik diri terutama dari kumpulan versi V2Aktivitas jahat menyebar melalui beberapa jaringan, sementara token BAL Dia menderita jatuh intraday dan pengguna menunggu konfirmasi resmi tentang seberapa parah insiden tersebut.
Bagaimana serangan itu terjadi
Analisis awal menunjukkan adanya kontrol akses yang salah dalam fungsi manageUserBalance dari Balancer V2Kerentanan tersebut akan berasal dari validasiUserBalanceOp, dengan membandingkan secara tidak tepat msg.sender dengan op.pengirim disediakan oleh pengguna, yang akan memungkinkan penarikan yang tidak sah melalui operasi UserBalanceOpKind.WITHDRAW_INTERNAL.
Vektor ini membuka pintu bagi pelaku jahat untuk melepaskan gerakan keseimbangan internal langsung dari kontrak tanpa izin yang tepat. Gudang V2 —kontrak pusat yang menyimpan token dari setiap pool— menjadi fokus, yang tidak hanya memengaruhi Balancer tetapi juga layanan yang dibangun berdasarkan arsitekturnya.
Secara paralel, hal-hal berikut terdeteksi: pengosongan brankas pada jaringan seperti Sonic, Polygon dan BaseHal ini memperkuat sifat saling terhubung dari ekosistem DeFi. Alamat operator Ia mulai mengkonsolidasikan asetnya dengan cepat, meningkatkan risiko pengaburan selanjutnya melalui mixer atau jembatan antara rantai.
Tim keamanan khusus, termasuk Decurity dan analis data on-chain, terus melacak aliran dana dan potensi rantai transaksi, dengan tujuan membuat profil penyerang dan secara tepat menentukan area pelanggaran.
Tingkat kerusakan dan distribusi melalui rantai pasokan
Perkiraan terbaru menunjukkan total aliran air mencapai sekitar 128,64 juta dolar, dengan bobot dominan Ethereum dan dampak yang signifikan pada beberapa jaringan L2 dan yang kompatibel. Juga dikonfirmasi bahwa Keuangan BitProyek derivatif mengalami kerugian yang melebihi 3 miliar.
- Ethereum: ~ 99,6 jt
- Berachain: ~ 12,86 jt
- Arbitrum: ~ 6,96 jt
- Basis: ~ 4,01 jt
- Sonic: ~ 3,44 jt
- Optimism: ~ 1,58 jt
- Polygon: ~232.350
Di antara aset yang terkuras, berikut ini yang menonjol: 6.850 osETH, 6.590 BASAH y 4.260 wstETH, ditransfer secara cepat ke portofolio baru, pola yang konsisten dengan penyerang yang berpengetahuan tentang logika kontrak dan komposisi kumpulan.
Untuk memberi insentif pengembalian dana, tim Balancer mengajukan 20% hadiah dalam format white hatdengan syarat pengembalian modal yang tersisa segera. Jika tidak, peringatan dikeluarkan mengenai kolaborasi dengan forensik blockchain dan otoritas untuk mengidentifikasi orang yang bertanggung jawab.
Dampaknya juga meluas ke infrastruktur: Berachain mengeksekusi sebuah penangkapan darurat dan sebuah hard fork bertujuan untuk membatasi dampak pada aset tertentu di DEX asalnya, dengan komitmen untuk melanjutkan jaringan setelah pemulihan dana yang terkena dampak.
Respon protokol dan dampak pasar
Tim menunjukkan bahwa kolam renang V2 terkena dampakketika V3 tetap beroperasi dan tanpa kerusakan, dan melaporkan bahwa bidang teknik dan keselamatannya sedang diselidiki dengan prioritas untuk menentukan tindakan penahanan dan rute pemulihan potensial.
Di pasar depan, token BAL registró penurunan lebih dari 5% setelah serangan diketahui, dalam konteks kewaspadaan yang meluas di masyarakat DeFiAnalis on-chain menyarankan untuk menghindari interaksi dengan kumpulan Balancer sampai informasi teknis lengkap tersedia.
Kejadian ini menambah episode sebelumnya: di 2020Sebuah serangan mengeksploitasi penanganan token deflasi selama sekitar $500.000; di agosto de 2023 kerugian hampir 1 millón karena adanya kerentanan dalam kolam yang ditingkatkan; dan pada tahun yang sama sebuah serangan DNS diarahkan ke situs web phishing, dengan perkiraan rampasan sebesar $238.000.
Untuk pengguna Spanyol dan UEKasus ini membuka kembali perdebatan tentang manajemen risiko dalam protokol komposit dan kebutuhan untuk audit tangkas, alat perlindungan pengguna dan koordinasi antar-protokol, sejalan dengan dorongan regulasi Eropa (MiCA) menuju standar keselamatan yang lebih menuntut.
Dengan kerugian yang sudah di atas 128 miliar Dan dengan investigasi aktif yang sedang berlangsung, episode Balancer menawarkan beberapa pelajaran: pentingnya kontrol akses yang kuat dalam fungsi-fungsi penting, peninjauan terus-menerus terhadap kontrak-kontrak lama di V2dan persiapan respons terkoordinasi—termasuk pilihan untuk Hadiah Topi Putih— untuk mengurangi kerusakan dan memulihkan kepercayaan.
Saya seorang penggila teknologi yang telah mengubah minat "geek"-nya menjadi sebuah profesi. Saya telah menghabiskan lebih dari 10 tahun hidup saya menggunakan teknologi mutakhir dan mengutak-atik semua jenis program hanya karena rasa ingin tahu. Sekarang saya memiliki spesialisasi dalam teknologi komputer dan video game. Hal ini karena selama lebih dari 5 tahun saya telah menulis untuk berbagai website tentang teknologi dan video game, membuat artikel yang berupaya memberikan informasi yang Anda butuhkan dalam bahasa yang dapat dimengerti oleh semua orang.
Jika Anda memiliki pertanyaan, pengetahuan saya berkisar dari segala sesuatu yang berhubungan dengan sistem operasi Windows serta Android untuk ponsel. Dan komitmen saya adalah kepada Anda, saya selalu bersedia meluangkan beberapa menit dan membantu Anda menyelesaikan pertanyaan apa pun yang mungkin Anda miliki di dunia internet ini.