ניצול איזון: מפגיעה של 70 מיליון ליותר מ-128 מיליון

ניצול ה-Balancer הסלים מהערכות ראשוניות של 70 מיליון דולר להפסדים של יותר מ-128 מיליון דולר.
הסיבה הסבירה הייתה כשל בקרת גישה ב-V2 שאפשר משיכות לא מורשות.
זה השפיע על מספר רשתות: את'ריום, בראצ'יין, ארביטרום, בסיס, סוניק, אופטימיזם ופוליגון.
הפרוטוקול הציע תגמול של 20%; אסימון BAL נפל ובראצ'יין חווה כיבוי חירום.

El פרוטוקול מימון מבוזר Balancer נרשם אחד הגדולים ביותר שלה אירועים ביטחוניים עד התאריך, עם דיווחים על התקפה שהחלה להיות מתרחשת סביב 70 מ' וכי, לפי הנתונים המאוחדים האחרונים, זה היה יכול בקלות לעבור את ה-128 מיליון בנכסים שננקזו לתיקי השקעות חדשים.

הכספים המחויבים כוללים osETH, WETH ו-wstETHוהם היו נסוגים בעיקר מ מאגרי גרסה V2הפעילות הזדונית התפשטה על פני מספר רשתות, בעוד שהאסימון BAL הוא סבל מנפילות תוך יומיות והמשתמשים המתינו לאישורים רשמיים לגבי היקף התקרית האמיתי.

כיצד התרחשה ההתקפה

התקפה על בריכות איזון V2

ניתוחים ראשוניים מצביעים על בקרת גישה לקויה בפונקציית manageUserBalance של Balancer V2הפגיעות תמקורה ב אימות איזון משתמש, על ידי השוואה שגויה msg.sender עם שולח פעולה שסופק על ידי המשתמש, מה שהיה מאפשר משיכות לא מורשות דרך המבצע UserBalanceOpKind.WITHDRAW_INTERNAL.

וקטור זה פתח את הדלת לגורמים זדוניים לשחרר תנועות שיווי משקל פנימיות ישירות מחוזים ללא אישורים מתאימים. כספת V2 —החוזה המרכזי שמחזיק את האסימונים של כל מאגר — נכנס למוקד, והשפיע לא רק על Balancer אלא גם על שירותים הבנויים על הארכיטקטורה שלה.

תוכן בלעדי - לחץ כאן כיצד אוכל למנוע את הצגת המידע שלי באינטרנט?

במקביל, התגלו הדברים הבאים ריקון כספות ברשתות כמו סוניק, פוליגוון ובסיסזה מחזק את האופי המקושר של מערכת האקולוגית של DeFi. כתובת המפעיל היא החלה לאחד נכסים במהירות, מה שמגדיל את הסיכון לטשטושו לאחר מכן באמצעות מיקסרים או גשרים בין שרשראות.

צוותי אבטחה מיוחדים, כולל Decurity ואנליסטים של נתונים בשרשרת, ממשיכים לעקוב אחר זרימת הכספים ושרשרת העסקאות הפוטנציאלית, במטרה... יצירת פרופיל של התוקף והגדרה מדויקת של אזור הפריצה.

היקף הנזק והפצה לפי שרשראות אספקה

השפעה מרובת רשתות של ניצול Balancer

ההערכות האחרונות מעלות את סך הניקוז ל- כ -128,64 מיליון דולר, עם משקל דומיננטי של Ethereum והשפעה משמעותית על מספר רשתות L2 ורשתות תואמות. כמו כן אושר כי סלק פיננסיםפרויקט הנגזרים ספג הפסדים העולים על millones 3.

Ethereum: ~ 99,6M
בראצ'יין: ~ 12,86M
ארביטרום: ~ 6,96M
בסיס: ~ 4,01M
סוניק: ~ 3,44M
אוֹפּטִימִיוּת: ~ 1,58M
מצולע: ~ 232.350

בין הנכסים שהתרוקנו, בלטו הדברים הבאים: 6.850 osETH, 6.590 WETH y 4.260 wstETH, הועבר ברצף מהיר אל תיקי השקעות חדשים, דפוס התואם לתוקף הבקיא בהיגיון של החוזים ובהרכב המאגרים.

תוכן בלעדי - לחץ כאן האנטי-וירוס הטוב ביותר באינטרנט

כדי לתמרץ את החזרת הכספים, צוות Balancer הציג הצעה תגמול של 20%. בפורמט כובע לבןמותנה בהשבת ההון הנותר באופן מיידי. אחרת, פורסמה אזהרה בנוגע לשיתוף פעולה עם פורנזיקה של בלוקצ'יין ורשויות כדי לזהות את האדם האחראי.

ההשפעה התרחבה גם לתשתיות: בראצ'יין הוציא להורג מעצר חירום ו קשה מזלג שמטרתה להגביל את ההשפעה על נכסים ספציפיים ב-DEX המקורי שלה, עם התחייבות לחדש את הרשת לאחר התאוששות הקרנות שנפגעו.

תגובת פרוטוקול והשפעות שוק

ניצול איזון והפסדים בקריפטו

הצוות ציין כי הבריכות V2 הושפעובעוד V3 נשאר פעיל וללא נזק, ודיווח כי אזורי ההנדסה והבטיחות שלה חוקרים בעדיפות גבוהה כדי לקבוע אמצעי בלימה ודרכי התאוששות אפשריות.

בחזית השוק, האסימון BAL רישום ירידות של יותר מ-5% לאחר שנודע על הפיגוע, בהקשר של זהירות נרחבת בקהילה DeFiאנליסטים ברשת המליצו להימנע מאינטראקציה עם מאגרי Balancer עד שיהיה זמין מידע טכני מלא.

תוכן בלעדי - לחץ כאן כיצד להגן על הפרטיות שלך ברשתות חברתיות?

אירוע זה מתווסף לפרקים קודמים: ב 2020מתקפה ניצלה את הטיפול באסימוני דפלציה במשך כ דולר ארה"ב 500.000; ב אוגוסט 2023 הפסדים של כמעט מיליון עקב פגיעות ב בריכות משופרות; ובאותה שנה א מתקפת DNS הועבר לאתר אינטרנט של דיוג, עם שלל משוער של דולר ארה"ב 238.000.

למשתמשים ב- ספרד והאיחוד האירופיהמקרה פותח מחדש את הדיון על ניהול סיכונים בפרוטוקולים מורכבים והצורך ב... ביקורות זריזות, כלי הגנת משתמשים ותיאום בין-פרוטוקולי, בהתאם למאמץ הרגולטורי האירופי (נָצִיץ) לעבר תקני בטיחות תובעניים יותר.

עם הפסדים שכבר מעל millones 128 ועם חקירה פעילה שעוברת, פרשת Balancer מציעה מספר לקחים: חשיבותה של בקרת גישה חזקה בפונקציות קריטיות, הבדיקה המתמדת של חוזים מדור קודם ב V2והכנת תגובות מתואמות - כולל האפשרות של תגמולי כובע לבן- כדי למתן נזקים ולשקם את האמון.

Artaculo relacionado:

מתקפת כופר פגעה בשדות תעופה באירופה: תורים, ביטולים וצ'ק-אין מנייר.

אלברטו נבארו

אני חובב טכנולוגיה שהפך את תחומי העניין ה"חנון" שלו למקצוע. ביליתי יותר מ-10 שנים מחיי בטכנולוגיה מתקדמת והתעסקות עם כל מיני תוכניות מתוך סקרנות טהורה. עכשיו התמחיתי בטכנולוגיית מחשבים ומשחקי וידאו. הסיבה לכך היא שכבר יותר מ-5 שנים אני כותב לאתרים שונים בנושאי טכנולוגיה ומשחקי וידאו, ויוצר מאמרים המבקשים לתת לכם את המידע הדרוש לכם בשפה מובנת לכולם.

אם יש לך שאלות, הידע שלי נע מכל מה שקשור למערכת ההפעלה Windows וכן אנדרואיד לטלפונים ניידים. והמחויבות שלי היא אליך, אני תמיד מוכן להקדיש כמה דקות ולעזור לך לפתור כל שאלה שיש לך בעולם האינטרנט הזה.