- Balancer-utnyttjandet eskalerade från initiala uppskattningar på 70 miljoner dollar till över 128 miljoner dollar i förluster.
- Den troliga orsaken var ett fel i åtkomstkontrollen i V2 som tillät obehöriga uttag.
- Det påverkade flera nätverk: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism och Polygon.
- Protokollet erbjöd en belöning på 20 %; BAL-token föll och Berachain upplevde en nödavstängning.
El decentraliserat finansprotokoll gunga har registrerat sig en av dess största säkerhetsincidenter fram till datumet, med en attack som började rapporteras runt 70 miljoner och att, enligt de senaste konsoliderade uppgifterna, Det skulle lätt ha överstigit 128 miljoner i tillgångar som dränerats till nya portföljer.
De avsatta medlen inkluderar osETH, WETH och wstETHoch de skulle ha dragit sig huvudsakligen tillbaka från pooler av version V2Den skadliga aktiviteten spred sig över flera nätverk, medan token BAL Han drabbades av fall under dagen och användare väntade på officiella bekräftelser om händelsens verkliga omfattning.
Hur attacken gick till
Inledande analyser pekar på en felaktig åtkomstkontroll i funktionen manageUserBalance i Balancer V2Sårbarheten skulle ha sitt ursprung i valideraAnvändarbalansOpgenom att jämföra felaktigt msg.avsändare med en op.sändare tillhandahålls av användaren, vilket skulle ha gjort det möjligt obehöriga uttag genom operationen AnvändarbalansOpKind.WITHDRAW_INTERNAL.
Denna vektor öppnade dörren för illvilliga aktörer att släppa lös inre balansrörelser direkt från kontrakt utan vederbörliga tillstånd. V2:s valv —det centrala kontraktet som innehåller tokens för varje pool— kom i fokus, vilket påverkade inte bara Balancer utan även tjänster byggda på dess arkitektur.
Parallellt upptäcktes följande tömningar av valv på nätverk som t.ex Sonisk, polygon och basDetta förstärker den sammankopplade naturen hos DeFi-ekosystemet. Operatörens adress Det började konsolidera tillgångarna snabbt, vilket ökar risken för dess efterföljande förvirring genom blandare eller bryggor mellan kedjor.
Specialiserade säkerhetsteam, inklusive Decurity och dataanalytiker på kedjan, fortsätter att spåra flödet av medel och den potentiella transaktionskedjan, i syfte att profilera angriparen och exakt definiera området för intrånget.
Skadans omfattning och distribution via leveranskedjor
De senaste uppskattningarna höjer den totala dräneringen till cirka 128,64 miljoner dollar, med en dominerande vikt av Ethereum och en betydande inverkan på flera L2- och kompatibla nätverk. Det bekräftades också att Beets FinanceDerivatprojektet led förluster som översteg 3 millones.
- Ethereum: ~ 99,6 miljoner
- Berachain: ~ 12,86 miljoner
- Arbitrum: ~ 6,96 miljoner
- Bas: ~ 4,01 miljoner
- Sonic: ~ 3,44 miljoner
- Optimism: ~ 1,58 miljoner
- Polygon: ~ 232.350
Bland de uttömda tillgångarna utmärkte sig följande: 6 850 osETH, 6.590 WETH y 4.260 wstETH, överförda i snabb följd till nya portföljer, ett mönster som överensstämmer med en angripare som är kunnig om kontraktens logik och poolernas sammansättning.
För att stimulera återbetalning av medel lade Balancer-teamet fram ett 20 % belöning format vit hattvillkorat av omedelbar återbetalning av det återstående kapitalet. I annat fall utfärdades en varning angående samarbete med blockkedjeforensik och myndigheter att identifiera den ansvarige personen.
Påverkan sträckte sig även till infrastrukturen: Berachain avrättade en akut gripande och en hårt gaffel syftar till att begränsa påverkan på specifika tillgångar i dess ursprungliga DEX, med ett åtagande att återuppta nätverket efter att de berörda fonderna har återhämtat sig.
Protokollrespons och marknadseffekter
Teamet angav att poolerna V2 påverkadesMedan V3 förblev i drift och utan skador, och rapporterade att dess teknik- och säkerhetsområden prioriterar utredningar för att fastställa inneslutningsåtgärder och potentiella återställningsvägar.
På marknadsfronten, token BAL register nedgångar på mer än 5 % efter att attacken blev känd, i ett sammanhang av utbredd försiktighet i samhället DefiAnalytiker på kedjan rekommenderade att man undvek att interagera med Balancer-pooler tills fullständig teknisk information finns tillgänglig.
Denna händelse utökar tidigare avsnitt: i 2020En attack utnyttjade hanteringen av deflationstokens i ungefär US-dollar 500.000; en Augusti 2023 förluster på nästan 1 miljoner på grund av en sårbarhet i förstärkta pooler; och samma år en DNS-attack omdirigerad till en webbplats för Nätfiske, med ett ungefärligt byte av US-dollar 238.000.
För användare av Spanien och EUFallet återupptar debatten om riskhantering i sammansatta protokoll och behovet av agila revisioner, verktyg för användarskydd och samordning mellan protokoll, i linje med den europeiska lagstiftningssatsningen (Glimmer) mot högre säkerhetsstandarder.
Med förluster redan ovan 128 millones Och med en aktiv utredning på gång erbjuder Balancer-avsnittet flera lärdomar: vikten av robust åtkomstkontroll i kritiska funktioner, den ständiga granskningen av äldre kontrakt i V2och utarbetandet av samordnade insatser – inklusive möjligheten att White Hat-belöningar— för att mildra skador och återställa förtroendet.
Jag är en teknikentusiast som har gjort sina "nördar"-intressen till ett yrke. Jag har tillbringat mer än 10 år av mitt liv med att använda den senaste tekniken och mixtrat med alla typer av program av ren nyfikenhet. Nu har jag specialiserat mig på datateknik och tv-spel. Detta beror på att jag i mer än 5 år har arbetat med att skriva för olika webbplatser om teknik och videospel, skapa artiklar som försöker ge dig den information du behöver på ett språk som är begripligt för alla.
Om du har några frågor sträcker sig min kunskap från allt som rör operativsystemet Windows samt Android för mobiltelefoner. Och mitt engagemang är för dig, jag är alltid villig att spendera några minuter och hjälpa dig att lösa alla frågor du kan ha i den här internetvärlden.