- Balancer 공격으로 인한 손실액은 최초 추정치인 7,000만 달러에서 1억 2,800만 달러 이상으로 확대되었습니다.
- 가능성 있는 원인은 V2에서 액세스 제어 오류가 발생하여 무단 인출이 허용된 것입니다.
- 이는 Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism, Polygon 등 여러 네트워크에 영향을 미쳤습니다.
- 해당 프로토콜은 20%의 보상을 제공했지만, BAL 토큰이 하락했고 Berachain은 긴급 종료를 경험했습니다.
El 탈중앙화 금융 프로토콜 Balancer 등록했다 가장 큰 것 중 하나 보안 사고 날짜까지, 공격이 보고되기 시작했습니다. 70천억 달러 그리고 가장 최근의 통합 데이터에 따르면, 1억 2800만 명을 쉽게 넘어섰을 겁니다. 새로운 포트폴리오로 자산이 유출되었습니다.
약정된 자금에는 다음이 포함됩니다. osETH, WETH 및 wstETH그리고 그들은 주로 철수했을 것입니다 V2 버전 풀악의적인 활동은 여러 네트워크로 확산되었으며 토큰은 BAL 그는 일중 낙상을 겪었다 그리고 사용자들은 사건의 실제 규모에 대한 공식적인 확인을 기다리고 있었습니다.
공격이 어떻게 일어났는가
초기 분석은 다음을 가리킵니다. 잘못된 접근 제어 Balancer V2의 manageUserBalance 함수에서취약점은 다음에서 발생합니다. validateUserBalanceOp, 잘못 비교하여 msg.sender 함께 op.sender 사용자가 제공한 것으로 허용되었을 것입니다. 무단 인출 작업을 통해 UserBalanceOpKind.WITHDRAW_INTERNAL.
이 벡터는 악의적인 행위자들이 풀려날 수 있는 문을 열었습니다. 내부 균형 운동 적절한 허가 없이 계약서에서 직접. V2의 금고 —각 풀의 토큰을 보유하는 중앙 계약—이 주목을 받아 Balancer뿐만 아니라 아키텍처를 기반으로 구축된 서비스.
동시에 다음이 감지되었습니다. 금고 비우기 다음과 같은 네트워크에서 소닉, 폴리곤, 베이스이는 DeFi 생태계의 상호 연결성을 강화합니다. 운영자 주소 자산을 빠르게 통합하기 시작했습니다., 이후의 난독화 위험을 증가시킵니다. 믹서 또는 브리지 사슬 사이.
Decurity 및 온체인 데이터 분석가를 포함한 전문 보안 팀은 자금 흐름과 잠재적 거래 체인을 계속 추적하여 목표를 달성합니다. 공격자 프로파일링 및 침해 영역을 정확하게 정의.
공급망별 피해 규모 및 분포
최신 추정치에 따르면 총 배수량은 다음과 같습니다. 약 128,64 만 달러, 지배적인 무게를 가지고 Ethereum 그리고 여러 L2 및 호환 네트워크에 상당한 영향을 미쳤습니다. 또한 비트 파이낸스파생 프로젝트는 다음을 초과하는 손실을 입었습니다. 3천억.
- Ethereum: ~ 99,6M
- 베라체인: ~ 12,86M
- Arbitrum: ~ 6,96M
- Base: ~ 4,01M
- 소닉 : ~ 3,44M
- Optimism: ~ 1,58M
- Polygon: ~232.350
유출된 자산 중 눈에 띄는 것은 다음과 같습니다. 6.850 오에스이더, 6.590 서쪽 y 4.260 wstETH, 빠른 연속으로 전송됨 새로운 포트폴리오계약의 논리와 풀의 구성에 대한 지식이 있는 공격자와 일치하는 패턴입니다.
자금 반환을 장려하기 위해 Balancer 팀은 다음을 제안했습니다. 20% 보상 en formato white hat잔여 자본의 즉각적인 반환을 조건으로 합니다. 그렇지 않으면 협력에 대한 경고가 발행되었습니다. 블록체인 포렌식 및 당국 책임자를 식별합니다.
영향은 인프라에도 확대되었습니다. Berachain 실행했다 긴급 체포 그리고 hard fork 영향을 받은 자금을 회수한 후 네트워크를 재개하겠다는 약속과 함께, 원래 DEX에 있는 특정 자산에 미치는 영향을 제한하는 것을 목표로 합니다.
프로토콜 반응 및 시장 효과
팀은 풀을 표시했습니다. V2가 영향을 받았습니다~하는 동안 V3는 계속 작동했습니다. 피해는 발생하지 않았으며, 엔지니어링 및 안전 부서에서 우선적으로 조사를 진행하여 봉쇄 조치와 잠재적 복구 경로를 결정하고 있다고 보고했습니다.
시장에서 토큰은 BAL registró 공격이 알려진 후 5% 이상 감소, 지역사회에서 널리 경고하는 맥락에서 DeFi온체인 분석가들은 완전한 기술 정보가 나올 때까지 Balancer 풀과의 상호 작용을 피하는 것이 좋다고 권고했습니다.
이 사건은 이전 에피소드에 추가됩니다. 2020공격은 약 1년 동안 디플레이션 토큰 처리를 악용했습니다. 500.000달러; 에 agosto de 2023 거의 손실 1 millón 취약점으로 인해 강화된 풀; 그리고 같은 해에 DNS 공격 웹사이트로 리디렉션됨 피싱, 대략적인 전리품과 함께 238.000달러.
Para usuarios de 스페인과 EU이 사건은 복합 프로토콜의 위험 관리에 대한 논의와 그 필요성에 대한 논의를 다시 시작합니다. 애자일 감사, 사용자 보호 도구 그리고 유럽 규제 추진에 따라 프로토콜 간 조정(운모) 더욱 엄격한 안전 기준을 향해 나아갑니다.
이미 위의 손실로 인해 128천억 그리고 활발한 조사가 진행 중이기 때문에 Balancer 에피소드에서는 중요한 기능에서 강력한 액세스 제어의 중요성, 레거시 계약의 지속적인 검토 등 여러 가지 교훈을 제공합니다. V2조정된 대응 준비(옵션 포함) 화이트햇 리워드— 피해를 완화하고 신뢰를 회복하기 위해.
나는 그의 "괴짜" 관심을 직업으로 바꾼 기술 열광자입니다. 나는 10년 넘게 최첨단 기술을 사용하고 순수한 호기심으로 온갖 프로그램을 만지작거리며 살아왔습니다. 이제 저는 컴퓨터 기술과 비디오 게임을 전공했습니다. 왜냐하면 저는 5년 넘게 기술 및 비디오 게임에 관한 다양한 웹사이트에 글을 쓰고 모든 사람이 이해할 수 있는 언어로 필요한 정보를 제공하려는 기사를 작성해 왔기 때문입니다.
질문이 있으시면 제가 알고 있는 지식은 Windows 운영 체제는 물론 휴대폰용 Android까지 다양합니다. 그리고 저는 여러분을 위한 헌신을 하고 있습니다. 저는 항상 몇 분씩만 시간을 내어 이 인터넷 세계에서 여러분이 가질 수 있는 모든 질문을 해결하도록 도와드릴 의향이 있습니다.