- Tap á Balancer-árangrinum jókst úr upphaflegum áætlunum um 70 milljónir dala í yfir 128 milljónir dala.
- Líklega var orsökin bilun í aðgangsstýringu í V2 sem gerði kleift að taka út óheimilar reikningar.
- Þetta hafði áhrif á nokkur net: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism og Polygon.
- Samskiptareglurnar bauð upp á 20% umbun; BAL táknið féll og Berachain varð fyrir neyðarlokun.
El dreifð fjármálasamskiptareglur Jafnvægisbúnaður hefur skráð sig einn af sínum stærstu öryggisatvik til dagsetningar, með árás sem fór að berast um það bil 70 milljarðar dollara og að samkvæmt nýjustu sameinuðu gögnum, Það hefði auðveldlega farið yfir 128 milljónir í eignum sem tæmdust í ný eignasöfn.
Fjármagnið sem skuldbundið er, felur í sér osETH, WETH og wstETHog þeir hefðu aðallega dregið sig til baka frá Safnar af útgáfu V2Illgjarna virknin dreifðist yfir nokkur net, en auðkennið BAL Hann féll innan dags og notendur biðu eftir opinberum staðfestingum á raunverulegu umfangi atviksins.
Hvernig árásin átti sér stað
Fyrstu greiningar benda til þess að biluð aðgangsstýring í manageUserBalance fallinu í Balancer V2Varnarleysið myndi eiga uppruna sinn í staðfesta notandajafnvægiOpmeð því að bera saman rangt sendandi skilaboða með op.sender sem notandinn gaf út, sem hefði gert það mögulegt óheimilar úttektir í gegnum aðgerðina Notendajafnvægisaðgerðartegund.WITHDRAW_INTERNAL.
Þessi vektor opnaði dyrnar fyrir illgjarna aðila til að leysa úr læðingi innri jafnvægishreyfingar beint úr samningum án tilskilinna leyfa. Geymsla V2 —miðlægi samningurinn sem geymir tákn hvers laugar — kom í ljós, sem hafði ekki aðeins áhrif á Balancer heldur einnig þjónustur byggðar á arkitektúr þess.
Samhliða þessu var eftirfarandi greint tæmingar í hvelfingum á netum eins og Hljóð, marghyrningur og grunnurÞetta styrkir samtengda eðli DeFi vistkerfisins. Heimilisfang rekstraraðilans Það byrjaði að sameina eignir hratt, sem eykur hættuna á að það verði síðar ruglað í gegnum blöndunartæki eða brýr milli keðja.
Sérhæfð öryggisteymi, þar á meðal Decurity og gagnagreinendur innan keðjunnar, halda áfram að fylgjast með fjárstreymi og hugsanlegri viðskiptakeðju, með það að markmiði að... að gera prófíl af árásarmanninum og skilgreina nákvæmlega svæðið þar sem brotið var.
Umfang tjóns og dreifing eftir framboðskeðjum
Nýjustu áætlanir hækka heildarmagn sem tæmt er í um 128,64 milljónir dollara, með ráðandi þyngd Ethereum og veruleg áhrif á nokkur L2 og samhæf net. Það var einnig staðfest að Rauðrófur FjármálAfleiðuverkefnið varð fyrir tapi sem nam meira en 3 milljarðar.
- Ethereum: ~ 99,6M
- Beracháin: ~ 12,86M
- Gerðardómur: ~ 6,96M
- Grunnur: ~ 4,01M
- Sonic: ~ 3,44M
- Bjartsýni: ~ 1,58M
- Marghyrningur: ~232.350
Meðal þeirra eigna sem tæmdust stóðu eftirfarandi upp úr: 6.850 osETH, 6.590 WETH y 4.260 wstETH, flutt í hröðum skrefum til ný eignasöfn, mynstur sem er í samræmi við árásarmann sem þekkir rökfræði samninganna og samsetningu lauganna.
Til að hvetja til endurgreiðslu fjármagns lagði Balancer-teymið fram 20% verðlaun í sniði hvítur hatturmeð fyrirvara um tafarlausa endurgreiðslu á eftirstandandi fjármagni. Annars var gefin út viðvörun varðandi samstarf við rannsóknir á blockchain og yfirvöld að bera kennsl á þann sem ber ábyrgð.
Áhrifin náðu einnig til innviða: Beracháin framkvæmdi neyðarhandtöku og a harður gaffall miðar að því að takmarka áhrif á tilteknar eignir í innfæddum DEX, með skuldbindingu um að endurræsa netið eftir að viðkomandi sjóðir hafa verið endurheimtir.
Viðbrögð við samskiptareglum og áhrif á markaði
Liðið benti á að sundlaugarnar V2 varð fyrir áhrifumá meðan V3 var áfram í notkun og án skemmda, og tilkynnti að verkfræði- og öryggissvæði þess væru að rannsaka málið með forgangi til að ákvarða aðgerðir til að takmarka skemmdir og mögulegar björgunarleiðir.
Á markaðnum, táknið BAL met meira en 5% lækkun eftir að árásin varð þekkt, í ljósi útbreiddrar varúðar í samfélaginu DeFiSérfræðingar á keðjunni mæltu með því að forðast samskipti við Balancer-laugar þar til allar tæknilegar upplýsingar liggja fyrir.
Þetta atvik bætist við fyrri þætti: í 2020Árás nýtti sér meðhöndlun verðhjöðnunartákna í um það bil 500.000 dollarar; en Ágúst 2023 tap upp á næstum 1 milljón vegna veikleika í styrktar sundlaugarog sama ár a DNS-árás vísað á vefsíðu hjá phishing, með um það bil herfangi upp á 238.000 dollarar.
Fyrir notendur Spánn og ESBMálið endurvekur umræðuna um áhættustýringu í samsettum samskiptareglum og þörfina fyrir lipur endurskoðun, verkfæri til að vernda notendur og samræmingu milli samskiptareglna, í samræmi við evrópska reglugerðarátakið (Glimmer) í átt að strangari öryggisstöðlum.
Með tapi þegar yfir 128 milljarðar Og með virkri rannsókn í gangi býður þátturinn um Balancer upp á nokkra lærdóma: mikilvægi öflugrar aðgangsstýringar í mikilvægum starfsemi, stöðugrar endurskoðunar á eldri samningum í V2og undirbúningur samræmdra viðbragða — þar á meðal möguleikann á Hvítt hattverðlaun— til að draga úr skaða og endurheimta traust.
Ég er tækniáhugamaður sem hefur breytt "nörda" áhugamálum sínum í fag. Ég hef eytt meira en 10 árum af lífi mínu í að nota háþróaða tækni og fikta í alls kyns forritum af einskærri forvitni. Nú hef ég sérhæft mig í tölvutækni og tölvuleikjum. Þetta er vegna þess að í meira en 5 ár hef ég skrifað fyrir ýmsar vefsíður um tækni og tölvuleiki, búið til greinar sem leitast við að veita þér þær upplýsingar sem þú þarft á tungumáli sem er skiljanlegt fyrir alla.
Ef þú hefur einhverjar spurningar þá nær þekking mín frá öllu sem tengist Windows stýrikerfinu sem og Android fyrir farsíma. Og skuldbinding mín er til þín, ég er alltaf tilbúin að eyða nokkrum mínútum og hjálpa þér að leysa allar spurningar sem þú gætir haft í þessum internetheimi.