- L-isfruttament ta' Balancer eskala minn stimi inizjali ta' $70M għal aktar minn $128M f'telf.
- Il-kawża probabbli kienet ħsara fil-kontroll tal-aċċess fil-V2 li ppermettiet irtirar mhux awtorizzat.
- Dan affettwa diversi netwerks: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism, u Polygon.
- Il-protokoll offra premju ta’ 20%; it-token tal-BAL waqa’ u Berachain esperjenza għeluq ta’ emerġenza.
El protokoll ta' finanzi deċentralizzati Bilanċjar irreġistra waħda mill-akbar tagħha inċidenti tas-sigurtà sad-data, b'attakk li beda jiġi rrappurtat madwar 70 miljun u li, skont l-aktar dejta konsolidata reċenti, Kien faċilment jaqbeż il-128 miljun. f'assi mxerrda f'portafolli ġodda.
Il-fondi impenjati jinkludu osETH, WETH u wstETHu kienu jirtiraw l-aktar minn pools tal-verżjoni V2L-attività malizzjuża infirxet fuq diversi netwerks, filwaqt li t-token BAL Huwa sofra waqgħat matul il-ġurnata u l-utenti stennew konfermi uffiċjali dwar il-firxa vera tal-inċident.
Kif ġara l-attakk
L-analiżijiet inizjali jindikaw kontroll tal-aċċess difettuż fil-funzjoni manageUserBalance ta' Balancer V2Il-vulnerabbiltà toriġina minn validateUserBalanceOp, billi tqabbel b'mod żbaljat msg.sender b ' op.sender ipprovdut mill-utent, li kien jippermetti irtirar mhux awtorizzat permezz tal-operazzjoni Tip ta' Bilanċ tal-Utent.IRTIRREĠISTRA_INTERNAL.
Dan il-vettur fetaħ il-bieb għal atturi malizzjużi biex joħorġu movimenti tal-bilanċ intern direttament minn kuntratti mingħajr il-permessi xierqa. Kassaforti ta' V2 —il-kuntratt ċentrali li jżomm it-tokens ta’ kull pool— ġie fil-fokus, u affettwa mhux biss lil Balancer iżda wkoll servizzi mibnija fuq l-arkitettura tagħha.
B'mod parallel, ġew skoperti dawn li ġejjin vojt tal-kmamar tas-sigurtà fuq netwerks bħal Sonic, Poligonu u BażiDan isaħħaħ in-natura interkonnessa tal-ekosistema DeFi. L-indirizz tal-operatur Beda jikkonsolida l-assi malajr, u b'hekk jiżdied ir-riskju li dan jiġi mxekkel aktar tard permezz ta' miksers jew pontijiet bejn il-ktajjen.
Timijiet speċjalizzati tas-sigurtà, inklużi Decurity u analisti tad-dejta on-chain, ikomplu jsegwu l-fluss ta’ fondi u l-katina potenzjali ta’ tranżazzjonijiet, bil-għan li profilar tal-attakkant u definizzjoni preċiża taż-żona tal-ksur.
Il-firxa tal-ħsara u d-distribuzzjoni mill-ktajjen tal-provvista
L-aħħar stimi jgħollu t-total imsaffi għal madwar $ 128,64 miljun, b'piż dominanti ta' Ethereum u impatt sinifikanti fuq diversi netwerks L2 u kompatibbli. Ġie kkonfermat ukoll li Finanzi tal-PitraviIl-proġett tad-derivattivi sofra telf li jaqbeż 3 millones.
- Ethereum: ~ 99,6M
- Berachain: ~ 12,86M
- Arbitrum: ~ 6,96M
- Bażi: ~ 4,01M
- Sonic: ~ 3,44M
- Ottimiżmu: ~ 1,58M
- Poligonu: ~ 232.350
Fost l-assi li tneħħew, spikkaw dawn li ġejjin: 6.850 osETH, 6.590 WETH y 4.260 wstETH, trasferiti f'suċċessjoni rapida lil portafolli ġodda, mudell konsistenti ma' attakkant li jaf il-loġika tal-kuntratti u l-kompożizzjoni tal-pools.
Biex jinċentiva r-ritorn tal-fondi, it-tim ta' Balancer ressaq 20% premju fil-format kappell abjadkundizzjonali fuq ir-restituzzjoni immedjata tal-kapital li jifdal. Inkella, inħarġet twissija dwar il-kollaborazzjoni ma' forensika u awtoritajiet tal-blockchain biex jiġi identifikat il-persuna responsabbli.
L-impatt estenda wkoll għall-infrastruttura: Berachain eżegwixxa arrest ta' emerġenza u furketta iebsa bil-għan li jillimita l-impatt fuq assi speċifiċi fid-DEX nattiv tiegħu, b'impenn li jerġa' jibda n-netwerk wara l-irkupru tal-fondi affettwati.
Rispons tal-protokoll u effetti tas-suq
It-tim indika li l-pixxini V2 ġew affettwatiFilwaqt li Il-V3 baqgħet operattiva u mingħajr ħsara, u rrapporta li l-oqsma tal-inġinerija u s-sikurezza tiegħu qed jinvestigaw bi prijorità biex jiddeterminaw miżuri ta’ konteniment u rotot potenzjali ta’ rkupru.
Fuq quddiem tas-suq, it-token BAL reġistru tnaqqis ta’ aktar minn 5% wara li sar magħruf l-attakk, f'kuntest ta' kawtela mifruxa fil-komunità DeFiL-analisti on-chain irrakkomandaw li tiġi evitata l-interazzjoni mal-pools tal-Balancer sakemm tkun disponibbli informazzjoni teknika kompluta.
Dan l-inċident iżid ma' episodji preċedenti: fi 2020Attakk sfrutta l-immaniġġjar ta' tokens deflazzjonarji għal madwar US dollaru 500.000; fil Awwissu 2023 telf ta’ kważi 1 miljun minħabba vulnerabbiltà fi pixxini msaħħa; u dik l-istess sena Attakk tad-DNS ridirett lejn websajt ta' Phishing, b'madwar loot ta' US dollaru 238.000.
Għal utenti ta ' Spanja u l-UEIl-każ jerġa' jiftaħ id-dibattitu dwar il-ġestjoni tar-riskju fi protokolli komposti u l-ħtieġa għal awditi aġili, għodod għall-protezzjoni tal-utent u koordinazzjoni interprotokollali, f'konformità mal-ispinta regolatorja Ewropea (MiCA) lejn standards ta’ sikurezza aktar eżiġenti.
Bit-telf diġà 'l fuq minn 128 millones U b'investigazzjoni attiva għaddejja, l-episodju ta' Balancer joffri diversi lezzjonijiet: l-importanza ta' kontroll robust tal-aċċess f'funzjonijiet kritiċi, ir-reviżjoni kostanti ta' kuntratti legati fi V2u t-tħejjija ta’ risposti kkoordinati—inkluża l-għażla ta’ Premjijiet tal-White Hat— biex tittaffa l-ħsara u terġa’ tinkiseb il-fiduċja.
Jien dilettant tat-teknoloġija li bidlet l-interessi "geek" tiegħu fi professjoni. Għamilt aktar minn 10 snin minn ħajti nuża teknoloġija avvanzata u nagħmel tbagħbis ma’ kull tip ta’ programmi għal kurżità pura. Issa speċjajtejt fit-teknoloġija tal-kompjuter u l-logħob tal-kompjuter. Dan għaliex ilni aktar minn 5 snin naħdem nikteb għal diversi websajts dwar teknoloġija u video games, noħloq artikli li jfittxu li jagħtuk l-informazzjoni li għandek bżonn b’lingwa li tinftiehem minn kulħadd.
Jekk għandek xi mistoqsijiet, l-għarfien tiegħi jvarja minn dak kollu relatat mas-sistema operattiva Windows kif ukoll Android għat-telefowns ċellulari. U l-impenn tiegħi huwa għalik, jien dejjem lest li nqatta' ftit minuti u ngħinek issolvi kwalunkwe mistoqsija li jista' jkollok f'din id-dinja tal-internet.