- Eksploitasi Pengimbang meningkat daripada anggaran awal $70 juta kepada kerugian lebih $128 juta.
- Punca yang mungkin adalah kegagalan kawalan akses dalam V2 yang membenarkan pengeluaran tanpa kebenaran.
- Ia menjejaskan beberapa rangkaian: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism dan Polygon.
- Protokol ini menawarkan ganjaran 20%; token BAL jatuh dan Berachain mengalami penutupan kecemasan.
El protokol kewangan terdesentralisasi Balancer telah mendaftar salah satu yang terbesar insiden keselamatan sehingga tarikh, dengan serangan yang mula dilaporkan 70 bilion dolar dan itu, menurut data disatukan terbaharu, Ia akan dengan mudah melebihi 128 juta dalam aset yang disalirkan ke dalam portfolio baharu.
Dana yang komited termasuk osETH, WETH dan wstETHdan mereka akan menarik diri terutamanya daripada kumpulan versi V2Aktiviti berniat jahat merebak di beberapa rangkaian, manakala token BAL Dia mengalami kejatuhan intraday dan pengguna menunggu pengesahan rasmi tentang tahap sebenar kejadian itu.
Bagaimana serangan itu berlaku
Analisis awal menunjukkan a kawalan akses yang rosak dalam fungsi manageUserBalance bagi Balancer V2Kerentanan akan berpunca dari validateUserBalanceOp, dengan membuat perbandingan secara salah msg.sender dengan op.sender disediakan oleh pengguna, yang akan membenarkan pengeluaran tanpa kebenaran melalui operasi tersebut UserBalanceOpKind.WITHDRAW_INTERNAL.
Vektor ini membuka pintu kepada pelakon berniat jahat untuk melepaskannya pergerakan keseimbangan dalaman terus daripada kontrak tanpa kebenaran yang sewajarnya. Bilik kebal V2 —kontrak pusat yang memegang token setiap kumpulan— menjadi tumpuan, bukan sahaja mempengaruhi Pengimbang tetapi juga perkhidmatan yang dibina berdasarkan seni binanya.
Secara selari, perkara berikut dikesan pengosongan bilik kebal pada rangkaian seperti Sonic, Poligon dan BaseIni mengukuhkan sifat saling berkaitan ekosistem DeFi. Alamat pengendali Ia mula menyatukan aset dengan cepat, meningkatkan risiko kekeliruan seterusnya melalui pengadun atau jambatan antara rantai.
Pasukan keselamatan khusus, termasuk Decurity dan penganalisis data dalam rantaian, terus menjejaki aliran dana dan rantaian urus niaga yang berpotensi, dengan tujuan untuk memprofilkan penyerang dan menentukan dengan tepat kawasan pelanggaran.
Tahap kerosakan dan pengedaran oleh rantaian bekalan
Anggaran terkini meningkatkan jumlah yang disalirkan kepada kira-kira 128,64 juta dolar, dengan berat dominan sebanyak Ethereum dan kesan yang ketara pada beberapa L2 dan rangkaian yang serasi. Ia juga disahkan bahawa Kewangan BeetsProjek derivatif mengalami kerugian melebihi 3 bilion.
- Ethereum: ~99,6J
- Berachain: ~12,86J
- Arbitrum: ~6,96J
- Base: ~4,01J
- Sonic: ~3,44J
- Optimism: ~1,58J
- Polygon: ~232.350
Antara aset yang dikeringkan, yang berikut menonjol: 6.850 osETH, 6.590 WETH y 4.260 wstETH, dipindahkan secara berturut-turut kepada portfolio baharu, corak yang konsisten dengan penyerang yang berpengetahuan tentang logik kontrak dan komposisi kumpulan.
Untuk memberi insentif kepada pemulangan dana, pasukan Pengimbang mengemukakan a 20% ganjaran dalam format white hatbersyarat dengan pengembalian segera baki modal. Jika tidak, amaran telah dikeluarkan mengenai kerjasama dengan forensik dan pihak berkuasa blockchain untuk mengenal pasti orang yang bertanggungjawab.
Kesannya juga meluas kepada infrastruktur: Berachain dilaksanakan a tangkapan kecemasan dan sebuah hard fork bertujuan untuk mengehadkan kesan ke atas aset tertentu dalam DEX asalnya, dengan komitmen untuk menyambung semula rangkaian selepas pemulihan dana yang terjejas.
Maklum balas protokol dan kesan pasaran
Pasukan itu menunjukkan bahawa kolam V2 terjejassementara V3 kekal beroperasi dan tanpa kerosakan, dan melaporkan bahawa kawasan kejuruteraan dan keselamatannya sedang menyiasat dengan keutamaan untuk menentukan langkah pembendungan dan laluan pemulihan yang berpotensi.
Di hadapan pasaran, token BAL registró penurunan lebih daripada 5% selepas serangan diketahui, dalam konteks berhati-hati yang meluas dalam masyarakat DeFiPenganalisis dalam rantaian mengesyorkan untuk mengelak daripada berinteraksi dengan kumpulan Pengimbang sehingga maklumat teknikal yang lengkap tersedia.
Insiden ini menambah episod sebelumnya: dalam 2020Serangan mengeksploitasi pengendalian token deflasi selama lebih kurang $500.000; dalam Ogos 2023 kerugian hampir 1 millón disebabkan oleh kelemahan dalam kolam yang dirangsangdan pada tahun yang sama a serangan DNS dihalakan semula ke tapak web daripada pancingan data, dengan rompakan anggaran sebanyak $238.000.
Bagi pengguna Sepanyol dan EUKes itu membuka semula perdebatan mengenai pengurusan risiko dalam protokol komposit dan keperluan untuk audit tangkas, alat perlindungan pengguna dan penyelarasan antara protokol, selaras dengan pemacu kawal selia Eropah (Mika) ke arah standard keselamatan yang lebih menuntut.
Dengan kerugian sudah di atas 128 bilion Dan dengan penyiasatan aktif sedang dijalankan, episod Pengimbang menawarkan beberapa pengajaran: kepentingan kawalan akses yang mantap dalam fungsi kritikal, semakan berterusan kontrak warisan dalam V2dan penyediaan respons yang diselaraskan—termasuk pilihan untuk Ganjaran Topi Putih— untuk mengurangkan kerosakan dan memulihkan kepercayaan.
Saya seorang peminat teknologi yang telah menjadikan minat "geek"nya sebagai satu profesion. Saya telah menghabiskan lebih daripada 10 tahun hidup saya menggunakan teknologi canggih dan bermain-main dengan semua jenis program kerana rasa ingin tahu yang tulen. Sekarang saya mempunyai pakar dalam teknologi komputer dan permainan video. Ini kerana selama lebih daripada 5 tahun saya telah menulis untuk pelbagai laman web mengenai teknologi dan permainan video, mencipta artikel yang bertujuan untuk memberi anda maklumat yang anda perlukan dalam bahasa yang boleh difahami oleh semua orang.
Jika anda mempunyai sebarang soalan, pengetahuan saya merangkumi semua perkara yang berkaitan dengan sistem pengendalian Windows serta Android untuk telefon mudah alih. Dan komitmen saya adalah kepada anda, saya sentiasa bersedia untuk meluangkan masa beberapa minit dan membantu anda menyelesaikan sebarang soalan yang mungkin anda ada dalam dunia internet ini.