- Убытки от атаки Balancer выросли с первоначальных 70 млн долларов до более чем 128 млн долларов.
- Вероятной причиной стал сбой в системе контроля доступа V2, из-за которого было возможно несанкционированное снятие средств.
- Он затронул несколько сетей: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism и Polygon.
- Протокол предлагал вознаграждение в размере 20%; токен BAL упал, а Berachain столкнулся с аварийным отключением.
El протокол децентрализованного финансирования Balancer зарегистрировал один из его величайших инциденты безопасности до даты, с атакой, о которой начали сообщать примерно 70 миллиарда долларов и что, согласно последним консолидированным данным, Это число легко превысило бы 128 миллионов. в активах, перенаправленных в новые портфели.
Выделенные средства включают в себя osETH, WETH и wstETHи они бы в основном отошли от пулы версии V2Вредоносная активность распространилась на несколько сетей, в то время как токен BAL Он перенес внутридневные падения и пользователи ждали официального подтверждения истинных масштабов инцидента.
Как произошло нападение
Первоначальные анализы указывают на неисправный контроль доступа в функции manageUserBalance Balancer V2Уязвимость может возникнуть в validateUserBalanceOp, сравнивая неправильно msg.sender с оп.отправитель предоставленные пользователем, которые позволили бы несанкционированное снятие средств через операцию UserBalanceOpKind.WITHDRAW_INTERNAL.
Этот вектор открыл путь злоумышленникам для осуществления своих замыслов. движения внутреннего баланса напрямую из контрактов без соответствующих разрешений. Хранилище V2 — центральный контракт, который хранит токены каждого пула, — оказался в центре внимания, затронув не только Balancer, но и услуги, построенные на его архитектуре.
Параллельно были обнаружены следующие опорожнение хранилища в сетях вроде Соник, Полигон и БазаЭто подтверждает взаимосвязанный характер экосистемы DeFi. Адрес оператора Он начал быстро консолидировать активы, увеличивая риск его последующего сокрытия через миксеры или мосты между цепями.
Специализированные группы безопасности, включая аналитиков безопасности и данных сети, продолжают отслеживать потоки средств и потенциальные цепочки транзакций с целью профилирование злоумышленника и точное определение области нарушения.
Масштабы ущерба и распределение по цепочкам поставок
По последним оценкам, общий объем слитой воды увеличился до около 128,64 миллиона долларов, с доминирующим весом Эфириум и значительное влияние на несколько сетей уровня 2 и совместимых сетей. Также было подтверждено, что Beets FinanceПроизводный проект понес убытки, превышающие 3 миллионов.
- Ethereum: ~ 99,6M
- Берахейн: ~ 12,86M
- Arbitrum: ~ 6,96M
- Base: ~ 4,01M
- Соник: ~ 3,44M
- Optimism: ~ 1,58M
- Polygon: ~232.350
Среди истощенных активов выделялись следующие: 6.850 osETH, 6.590 ВЛАЖНЫЙ y 4.260 wstETH, быстро перенесенный в новые портфели, шаблон, соответствующий злоумышленнику, осведомленному о логике контрактов и составе пулов.
Чтобы стимулировать возврат средств, команда Balancer предложила 20% награда en formato white hatпри условии немедленного возврата оставшегося капитала. В противном случае было вынесено предупреждение о сотрудничестве с блокчейн-криминалистика и органы власти для установления лица, ответственного за это.
Воздействие также распространилось на инфраструктуру: Berachain выполнил экстренный арест и а hard fork направлено на ограничение воздействия на определенные активы на собственной DEX, с обязательством возобновить работу сети после восстановления пострадавших средств.
Реакция протокола и рыночные эффекты
Команда указала, что бассейны V2 были затронутыпока V3 остался работоспособным и без повреждений, и сообщил, что его инженерные и безопасные подразделения проводят расследование в приоритетном порядке для определения мер сдерживания и возможных путей восстановления.
На рыночном фронте токен BAL registró снижение более чем на 5% после того, как стало известно об атаке, в контексте широко распространенной осторожности в обществе DeFiАналитики блокчейна рекомендуют воздержаться от взаимодействия с пулами Balancer до тех пор, пока не появится полная техническая информация.
Этот инцидент дополняет предыдущие эпизоды: в 2020Атака использовала обработку дефляционных токенов примерно на 500.000 долларов США; в agosto de 2023 потери почти 1 millón из-за уязвимости в усиленные пулы; и в том же году DNS-атака перенаправлены на сайт фишинг, с приблизительной добычей 238.000 долларов США.
Para usuarios de Испания и ЕСЭто дело вновь открывает дискуссию об управлении рисками в составных протоколах и о необходимости гибкие аудиты, инструменты защиты пользователей и межпротокольная координация в соответствии с европейскими нормативными требованиями (MiCA) к более строгим стандартам безопасности.
С потерями уже выше 128 миллионов А поскольку расследование уже ведется, эпизод с Balancer дает несколько уроков: важность надежного контроля доступа к критически важным функциям, постоянный пересмотр существующих контрактов в V2и подготовка скоординированных ответов, включая возможность Награды White Hat— для смягчения ущерба и восстановления доверия.
Я энтузиаст технологий, который превратил свои «компьютерные» интересы в профессию. Я провел более 10 лет своей жизни, используя передовые технологии и возясь со всевозможными программами из чистого любопытства. Сейчас я специализируюсь на компьютерных технологиях и видеоиграх. Это потому, что более 5 лет я пишу статьи для различных сайтов, посвященных технологиям и видеоиграм, создавая статьи, которые стремятся дать вам необходимую информацию на понятном каждому языке.
Если у вас есть какие-либо вопросы, мои знания варьируются от всего, что связано с операционной системой Windows, а также Android для мобильных телефонов. И я предан вам, я всегда готов потратить несколько минут и помочь вам решить любые вопросы, которые могут у вас возникнуть в этом мире Интернета.