- Zneužitie Balanceru sa zvýšilo z pôvodných odhadov 70 miliónov dolárov na straty presahujúce 128 miliónov dolárov.
- Pravdepodobnou príčinou bolo zlyhanie kontroly prístupu vo V2, ktoré umožňovalo neoprávnené výbery.
- Ovplyvnilo to niekoľko sietí: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism a Polygon.
- Protokol ponúkal 20% odmenu; token BAL klesol a Berachain zažil núdzové vypnutie.
El protokol decentralizovaných financií hojdačka sa zaregistroval jeden z jeho najväčších bezpečnostné incidenty do dátumu, s útokom, o ktorom sa začalo hlásiť okolo 70 miliónov a že podľa najnovších konsolidovaných údajov Ľahko by prekročilo 128 miliónov v aktívach presunutých do nových portfólií.
Zaviazané finančné prostriedky zahŕňajú osETH, WETH a wstETHa stiahli by sa hlavne z bazény verzie V2Škodlivá aktivita sa rozšírila cez niekoľko sietí, zatiaľ čo token BAL Utrpel intradenné poklesy a používatelia čakali na oficiálne potvrdenia o skutočnom rozsahu incidentu.
Ako k útoku došlo
Počiatočné analýzy poukazujú na chybná kontrola prístupu vo funkcii manageUserBalance nástroja Balancer V2Zraniteľnosť by mala pôvod v validateUserBalanceOpnesprávnym porovnaním msg.sender s a odosielateľ poskytnuté používateľom, čo by umožnilo neoprávnené výbery prostredníctvom operácie Druh_zostatku_používateľa.VÝBER_INTERNÁLNE.
Tento vektor otvoril dvere pre škodlivých aktérov pohyby vnútornej rovnováhy priamo zo zmlúv bez riadneho povolenia. Trezor V2 —centrálna zmluva, ktorá drží tokeny každého poolu — sa dostala do centra pozornosti a ovplyvnila nielen Balancer, ale aj služby postavené na jeho architektúre.
Súbežne boli zistené nasledujúce vyprázdňovanie trezorov v sieťach ako Sonic, polygón a základňaToto posilňuje prepojenú povahu ekosystému DeFi. Adresa prevádzkovateľa Začala rýchlo konsolidovať aktíva, čím sa zvyšuje riziko jeho následného zahmlievania prostredníctvom mixéry alebo mostíky medzi reťazami.
Špecializované bezpečnostné tímy vrátane Decurity a analytikov údajov v reťazci naďalej sledujú tok finančných prostriedkov a potenciálny reťazec transakcií s cieľom profilovanie útočníka a presné definovanie oblasti porušenia.
Rozsah škôd a ich distribúcia podľa dodávateľských reťazcov
Najnovšie odhady zvyšujú celkový vyčerpaný objem na asi 128,64 milióna dolárov, s dominantnou váhou Ethereum a významný vplyv na niekoľko sietí L2 a kompatibilných sietí. Potvrdilo sa tiež, že Repa FinanceDerivátový projekt utrpel straty presahujúce 3 millones.
- ethereum: ~99,6 miliónov
- Berachain: ~12,86 miliónov
- Arbitrum: ~6,96 miliónov
- Base: ~4,01 miliónov
- Sonic: ~3,44 miliónov
- Optimizmus: ~1,58 miliónov
- polygón: ~ 232.350
Medzi vyčerpanými aktívami vynikali: 6 850 osETH, 6.590 XNUMX XNUMX WETH y 4.260 wstETH, prenesené v rýchlom slede do nové portfóliá, čo je vzor konzistentný s útočníkom, ktorý má znalosti o logike zmlúv a zložení fondov.
Na stimuláciu návratnosti finančných prostriedkov tím Balancer predložil 20% odmena vo formáte biely klobúkpod podmienkou okamžitého vrátenia zostávajúceho kapitálu. V opačnom prípade bolo vydané varovanie týkajúce sa spolupráce s forenzná analýza blockchainu a autority identifikovať zodpovednú osobu.
Dopad sa rozšíril aj na infraštruktúru: Berachain vykonal núdzové zatknutie a hard vidlica zamerané na obmedzenie dopadu na konkrétne aktíva v jeho natívnom DEXe so záväzkom obnoviť sieť po zotavení postihnutých finančných prostriedkov.
Reakcia protokolu a vplyvy na trh
Tím uviedol, že bazény V2 boli ovplyvnenéKým V3 zostala funkčná a bez poškodenia a oznámil, že jeho technické a bezpečnostné oblasti prioritne vyšetrujú s cieľom určiť opatrenia na obmedzenie šírenia a možné cesty obnovy.
Na trhu, token BAL registratúra pokles o viac ako 5 % po tom, čo sa o útoku dozvedeliv kontexte všeobecnej opatrnosti v spoločnosti defiAnalytici on-chain siete odporučili vyhnúť sa interakcii s poolmi Balancer, kým nebudú k dispozícii kompletné technické informácie.
Táto udalosť nadväzuje na predchádzajúce epizódy: v 2020Útok zneužíval manipuláciu s deflačnými tokenmi približne Americký dolár 500.000; en Augusta 2023 straty takmer 1 milión kvôli zraniteľnosti v posilnené bazénya v tom istom roku a Útok na DNS presmerovaný na webovú stránku Phishings približnou korisťou Americký dolár 238.000.
Pre používateľov Španielsko a EÚPrípad znovu otvára diskusiu o riadení rizík v kompozitných protokoloch a potrebe... agilné audity, nástroje na ochranu používateľov a koordináciu medzi protokolmi v súlade s európskym regulačným úsilím (Sľuda) smerom k náročnejším bezpečnostným normám.
So stratami už vyššími 128 millones A keďže prebieha aktívne vyšetrovanie, epizóda Balancer ponúka niekoľko ponaučení: dôležitosť robustnej kontroly prístupu v kritických funkciách, neustále prehodnocovanie starších zmlúv v V2a prípravu koordinovaných reakcií – vrátane možnosti Odmeny za biely klobúk— zmierniť škody a obnoviť dôveru.
Som technologický nadšenec, ktorý zo svojich „geekovských“ záujmov urobil povolanie. Strávil som viac ako 10 rokov svojho života používaním špičkových technológií a hraním so všetkými druhmi programov z čistej zvedavosti. Teraz som sa špecializoval na počítačovú techniku a videohry. Je to preto, že už viac ako 5 rokov píšem pre rôzne webové stránky o technológiách a videohrách a vytváram články, ktoré sa snažia poskytnúť vám potrebné informácie v jazyku, ktorý je zrozumiteľný pre každého.
Ak máte nejaké otázky, moje znalosti siahajú od všetkého, čo súvisí s operačným systémom Windows, ako aj Androidom pre mobilné telefóny. A môj záväzok je voči vám, vždy som ochotný venovať pár minút a pomôcť vám vyriešiť akékoľvek otázky, ktoré môžete mať v tomto internetovom svete.