- Balancer-utnyttelsen eskalerte fra opprinnelige estimater på 70 millioner dollar til over 128 millioner dollar i tap.
- Den sannsynlige årsaken var en tilgangskontrollfeil i V2 som tillot uautoriserte uttak.
- Det påvirket flere nettverk: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism og Polygon.
- Protokollen tilbød en belønning på 20 %; BAL-tokenet falt og Berachain opplevde en nødavstengning.
El desentralisert finansprotokoll balanserer har registrert seg en av dens største sikkerhetshendelser til datoen, med et angrep som begynte å bli rapportert rundt 70 millioner og at, ifølge de nyeste konsoliderte dataene, Det ville lett ha oversteget 128 millioner i eiendeler drenert til nye porteføljer.
De forpliktede midlene inkluderer osETH, WETH og wstETHog de ville ha trukket seg hovedsakelig fra pools av versjon V2Den ondsinnede aktiviteten spredte seg over flere nettverk, mens tokenet BAL Han fikk fall i løpet av dagen og brukerne ventet på offisielle bekreftelser om det virkelige omfanget av hendelsen.
Hvordan angrepet skjedde
Innledende analyser peker på en defekt tilgangskontroll i manageUserBalance-funksjonen til Balancer V2Sårbarheten ville oppstå i validereBrukerBalanseOp, ved å sammenligne feil msg.sender med en op.sender levert av brukeren, noe som ville ha tillatt uautoriserte uttak gjennom operasjonen BrukerBalanseOpType.WITHDRAW_INTERNAL.
Denne vektoren åpnet døren for at ondsinnede aktører kunne slippe løs indre balansebevegelser direkte fra kontrakter uten nødvendige tillatelser. V2-hvelvet – den sentrale kontrakten som inneholder tokenene til hver pool – kom i fokus, noe som ikke bare påvirket Balancer, men også tjenester bygget på arkitekturen.
Parallelt ble følgende oppdaget tømming av hvelv på nettverk som Sonisk, polygon og baseDette forsterker den sammenkoblede naturen til DeFi-økosystemet. Operatørens adresse Det begynte å konsolidere eiendeler raskt, noe som øker risikoen for senere tilsløring gjennom miksere eller broer mellom kjedene.
Spesialiserte sikkerhetsteam, inkludert Decurity og dataanalytikere i kjeden, fortsetter å spore pengestrømmen og den potensielle transaksjonskjeden, med sikte på å profilering av angriperen og presis definering av området for innbruddet.
Skadeomfang og distribusjon via forsyningskjeder
De siste estimatene øker den totale drenerte mengden til ca $ 128,64 millioner, med en dominerende vekt på Ethereum og en betydelig innvirkning på flere L2- og kompatible nettverk. Det ble også bekreftet at Rødbeter FinansDerivatprosjektet led tap som oversteg 3 millones.
- ethereum: ~ 99,6M
- Berachain: ~ 12,86M
- Arbitrum: ~ 6,96M
- Base: ~ 4,01M
- Sonic: ~ 3,44M
- optimisme: ~ 1,58M
- polygon: ~ 232.350
Blant de tappede aktivaene skilte følgende seg ut: 6.850 osETH, 6.590 WET y 4.260 wstETH, overført i rask rekkefølge til nye porteføljer, et mønster som er konsistent med en angriper som har kunnskap om logikken i kontraktene og sammensetningen av poolene.
For å stimulere tilbakebetaling av midler, la Balancer-teamet frem en 20 % belønning format white hatbetinget av umiddelbar tilbakebetaling av den gjenværende kapitalen. Ellers ble det gitt en advarsel angående samarbeid med blokkjedeetterforskning og myndigheter å identifisere den ansvarlige personen.
Virkningen strakte seg også til infrastrukturen: Berachain henrettet en nødarrest og en vanskelig gaffel med sikte på å begrense virkningen på spesifikke eiendeler i den opprinnelige DEX-en, med en forpliktelse til å gjenoppta nettverket etter at de berørte midlene er gjenopprettet.
Protokollrespons og markedseffekter
Teamet indikerte at bassengene V2 ble påvirketMens V3 forble operativ og uten skader, og rapporterte at deres ingeniør- og sikkerhetsområder prioriterer etterforskning for å bestemme inneslutningstiltak og potensielle gjenopprettingsmetoder.
På markedsfronten, tokenet BAL register nedgang på mer enn 5 % etter at angrepet ble kjent, i en sammenheng med utbredt forsiktighet i samfunnet DefiAnalytikere på kjeden anbefalte å unngå å samhandle med Balancer-pooler inntil fullstendig teknisk informasjon er tilgjengelig.
Denne hendelsen kommer i tillegg til tidligere episoder: i 2020Et angrep utnyttet håndteringen av deflasjonstokens i omtrent Amerikanske dollar 500.000; i August 2023 tap på nesten 1 million på grunn av en sårbarhet i forsterkede bassenger; og samme år en DNS-angrep omdirigert til en nettside for phishing, med et omtrentlig bytte på Amerikanske dollar 238.000.
For brukere av Spania og EUSaken gjenopptar debatten om risikostyring i sammensatte protokoller og behovet for smidige revisjoner, verktøy for brukerbeskyttelse og koordinering mellom protokoller, i tråd med det europeiske regulatoriske arbeidet (MiCA) mot strengere sikkerhetsstandarder.
Med tap allerede over 128 millones Og med en aktiv etterforskning på gang, tilbyr Balancer-episoden flere lærdommer: viktigheten av robust tilgangskontroll i kritiske funksjoner, konstant gjennomgang av eldre kontrakter i V2og utarbeidelsen av koordinerte responser – inkludert muligheten for White Hat-belønninger– for å redusere skader og gjenopprette tillit.
Jeg er en teknologientusiast som har gjort sine "geek"-interesser til et yrke. Jeg har brukt mer enn 10 år av livet mitt på å bruke banebrytende teknologi og fikse med alle slags programmer av ren nysgjerrighet. Nå har jeg spesialisert meg på datateknologi og videospill. Dette er fordi jeg i mer enn 5 år har skrevet for forskjellige nettsteder om teknologi og videospill, og laget artikler som prøver å gi deg den informasjonen du trenger på et språk som er forståelig for alle.
Hvis du har spørsmål, spenner min kunnskap fra alt relatert til Windows-operativsystemet samt Android for mobiltelefoner. Og mitt engasjement er til deg, jeg er alltid villig til å bruke noen minutter og hjelpe deg med å løse eventuelle spørsmål du måtte ha i denne internettverdenen.