- Izkoriščanje Balancerja se je s prvotnih ocen v višini 70 milijonov dolarjev povečalo na več kot 128 milijonov dolarjev izgub.
- Verjeten vzrok je bila napaka v nadzoru dostopa v V2, ki je omogočila nepooblaščene dvige.
- Prizadelo je več omrežij: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism in Polygon.
- Protokol je ponudil 20-odstotno nagrado; žeton BAL je padel in Berachain je doživel izredno zaustavitev.
El protokol za decentralizirane finance Uravnoteževalec se je registriral eden njegovih največjih varnostnih incidentov do datuma, z napadom, o katerem so začeli poročati okoli 70 milijonov dolarjev in da je glede na najnovejše konsolidirane podatke Zlahka bi presegel 128 milijonov sredstev, preusmerjenih v nove portfelje.
Dodeljena sredstva vključujejo osETH, WETH in wstETHin bi se umaknili predvsem iz bazeni različice V2Zlonamerna dejavnost se je razširila po več omrežjih, medtem ko je žeton BAL Utrpel je dnevne padce in uporabniki so čakali na uradne potrditve o resničnem obsegu incidenta.
Kako se je napad zgodil
Začetne analize kažejo na napačen nadzor dostopa v funkciji manageUserBalance programa Balancer V2Ranljivost bi izvirala iz validateUserBalanceOpz napačno primerjavo pošiljatelj sporočil z pošiljatelj ki ga je zagotovil uporabnik, kar bi omogočilo nepooblaščeni dvigi skozi operacijo Vrsta_uporabniškega_stanja.INTERNALNI_DVIG_.
Ta vektor je odprl vrata zlonamernim akterjem, da se sprostijo gibi notranjega ravnotežja neposredno iz pogodb brez ustreznih dovoljenj. Trezor V2 – osrednja pogodba, ki vsebuje žetone vsakega sklada – je prišla v središče pozornosti, kar je vplivalo ne le na Balancer, ampak tudi storitve, zgrajene na njegovi arhitekturi.
Vzporedno so bili odkriti naslednji praznjenja trezorjev na omrežjih, kot so Sonic, poligon in bazaTo krepi medsebojno povezano naravo ekosistema DeFi. Naslov operaterja Začela je hitro konsolidirati sredstva, kar povečuje tveganje za njegovo poznejšo zamegljenost z mešalniki ali mostovi med verigami.
Specializirane varnostne ekipe, vključno z varnostnimi analitiki in analitiki podatkov v verigi, še naprej spremljajo pretok sredstev in morebitno verigo transakcij z namenom profiliranje napadalca in natančna opredelitev območja kršitve.
Obseg škode in distribucija po dobavnih verigah
Najnovejše ocene zvišujejo skupno izčrpano količino na približno 128,64 milijona dolarjev, z dominantno težo Ethereum in pomemben vpliv na več omrežij L2 in združljivih omrežij. Potrjeno je bilo tudi, da Pesa FinanceProjekt izvedenih finančnih instrumentov je utrpel izgube, ki so presegle 3 milijarde.
- Ethereum: ~ 99,6 milijona
- Berachain: ~ 12,86 milijona
- Arbitraža: ~ 6,96 milijona
- Osnova: ~ 4,01 milijona
- sonic: ~ 3,44 milijona
- Optimizem: ~ 1,58 milijona
- Poligon: ~232.350
Med izčrpanimi sredstvi so izstopala naslednja: 6.850 osETH, 6.590 WETH y 4.260 wstETH, prenesene v hitrem zaporedju na novi portfelji, vzorec, ki je skladen z napadalcem, ki pozna logiko pogodb in sestavo skupin.
Da bi spodbudili vračilo sredstev, je ekipa Balancer predlagala 20% nagrada v formatu beli klobukpogojno s takojšnjo vrnitvijo preostalega kapitala. V nasprotnem primeru je bilo izdano opozorilo glede sodelovanja z forenzika veriženja blokov in organi oblasti da se ugotovi odgovorna oseba.
Vpliv se je razširil tudi na infrastrukturo: Berachain izvedel nujna aretacija in a trda vilica s ciljem omejiti vpliv na specifična sredstva v svojem izvornem DEX-u, z zavezo, da se omrežje po okrevanju prizadetih sredstev ponovno vzpostavi.
Odziv protokola in učinki trga
Ekipa je navedla, da so bazeni V2 so bili prizadetimedtem ko V3 je ostal v delovanju in brez škode, ter poročal, da njegova inženirska in varnostna območja prednostno preiskujejo, da bi določili ukrepe za zadrževanje in morebitne poti za reševanje.
Na trgu je žeton BAL zapis upad za več kot 5 % po tem, ko je napad postal znan, v kontekstu splošne previdnosti v skupnosti DeFiAnalitiki na verigi so priporočili, da se izogibate interakciji s skupinami Balancer, dokler niso na voljo popolne tehnične informacije.
Ta incident se nadaljuje s prejšnjimi epizodami: v 2020Napad je izkoristil ravnanje z deflacijskimi žetoni približno 500.000 $; v Avgust 2023 izgube skoraj 1 milijon zaradi ranljivosti v okrepljeni bazeni; in istega leta Napad na DNS preusmerjen na spletno mesto lažno predstavljanje, s približno plenom 238.000 $.
Za uporabnike Španija in EUPrimer ponovno odpira razpravo o obvladovanju tveganj v sestavljenih protokolih in potrebi po agilne revizije, orodja za zaščito uporabnikov in usklajevanje med protokoli v skladu z evropskim regulativnim prizadevanjem (Sljuda) proti zahtevnejšim varnostnim standardom.
Z izgubami že zgoraj 128 milijarde In ker preiskava še poteka, epizoda Balancer ponuja več lekcij: pomen robustnega nadzora dostopa v kritičnih funkcijah, nenehno pregledovanje obstoječih pogodb v V2in pripravo usklajenih odzivov – vključno z možnostjo Nagrade za beli klobuk— ublažiti škodo in obnoviti zaupanje.
Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.
Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.