- Vụ khai thác Balancer đã khiến thiệt hại tăng từ mức ước tính ban đầu là 70 triệu đô la lên hơn 128 triệu đô la.
- Nguyên nhân có thể là do lỗi kiểm soát truy cập trong V2 khiến người dùng có thể rút tiền trái phép.
- Nó ảnh hưởng đến một số mạng: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism và Polygon.
- Giao thức này cung cấp phần thưởng 20%; token BAL giảm và Berachain phải ngừng hoạt động khẩn cấp.
El giao thức tài chính phi tập trung Balancer đã đăng ký một trong những lớn nhất của nó sự cố an ninh cho đến ngày, với một cuộc tấn công bắt đầu được báo cáo xung quanh 70 triệu đô la và rằng, theo dữ liệu hợp nhất gần đây nhất, Nó sẽ dễ dàng vượt quá 128 triệu trong tài sản được chuyển vào danh mục đầu tư mới.
Các quỹ cam kết bao gồm osETH, WETH và wstETHvà họ sẽ rút lui chủ yếu khỏi nhóm phiên bản V2Hoạt động độc hại lan rộng trên nhiều mạng, trong khi mã thông báo BAL Anh ấy đã bị ngã trong ngày và người dùng đang chờ đợi xác nhận chính thức về mức độ thực sự của sự cố.
Vụ tấn công xảy ra như thế nào
Phân tích ban đầu chỉ ra một kiểm soát truy cập bị lỗi trong hàm manageUserBalance của Balancer V2Lỗ hổng sẽ bắt nguồn từ validateUserBalanceOp, bằng cách so sánh không chính xác msg.sender với một op.sender được cung cấp bởi người dùng, điều này sẽ cho phép rút tiền trái phép thông qua hoạt động UserBalanceOpKind.WITHDRAW_INTERNAL.
Vectơ này đã mở ra cánh cửa cho những kẻ xấu tung ra chuyển động cân bằng bên trong trực tiếp từ hợp đồng mà không có sự cho phép thích hợp. Kho lưu trữ V2 —hợp đồng trung tâm nắm giữ các mã thông báo của mỗi nhóm— đã trở thành tâm điểm, ảnh hưởng không chỉ đến Balancer mà còn các dịch vụ được xây dựng dựa trên kiến trúc của nó.
Song song đó, những điều sau đây đã được phát hiện việc dọn kho tiền trên các mạng như Sonic, Polygon và BaseĐiều này củng cố bản chất kết nối của hệ sinh thái DeFi. Địa chỉ của nhà điều hành Nó bắt đầu hợp nhất tài sản nhanh chóng, làm tăng nguy cơ bị che giấu sau đó thông qua máy trộn hoặc cầu giữa các chuỗi.
Các nhóm bảo mật chuyên biệt, bao gồm các nhà phân tích dữ liệu bảo mật và trên chuỗi, tiếp tục theo dõi dòng tiền và chuỗi giao dịch tiềm năng, với mục đích lập hồ sơ kẻ tấn công và xác định chính xác khu vực vi phạm.
Mức độ thiệt hại và phân phối theo chuỗi cung ứng
Những ước tính mới nhất nâng tổng lượng nước bị tiêu hao lên khoảng 128,64 triệu đô la, với trọng số chi phối của Ethereum và tác động đáng kể đến một số mạng L2 và tương thích. Người ta cũng xác nhận rằng Tài chính củ cải đườngDự án phái sinh chịu tổn thất vượt quá 3 tỷ.
- Ethereum: ~ 99,6 triệu
- Berachain: ~ 12,86 triệu
- Arbitrum: ~ 6,96 triệu
- Base: ~ 4,01 triệu
- Sonic: ~ 3,44 triệu
- Optimism: ~ 1,58 triệu
- Polygon: ~232.350
Trong số các tài sản bị rút cạn, nổi bật là: 6.850 osETH, 6.590 WETH y 4.260 đô la Úc, được chuyển giao nhanh chóng đến danh mục đầu tư mới, một mô hình phù hợp với kẻ tấn công có hiểu biết về logic của hợp đồng và thành phần của nhóm.
Để khuyến khích việc hoàn trả tiền, nhóm Balancer đã đưa ra một Phần thưởng 20% ở định dạng white hatvới điều kiện là phải hoàn trả ngay lập tức số vốn còn lại. Nếu không, một cảnh báo đã được đưa ra về việc hợp tác với pháp y blockchain và các cơ quan chức năng để xác định người chịu trách nhiệm.
Tác động cũng lan rộng đến cơ sở hạ tầng: Berachain đã thực hiện một bắt giữ khẩn cấp và một hard fork nhằm hạn chế tác động đến các tài sản cụ thể trong DEX gốc, với cam kết khôi phục mạng lưới sau khi thu hồi được các khoản tiền bị ảnh hưởng.
Phản ứng của giao thức và tác động của thị trường
Nhóm nghiên cứu chỉ ra rằng các hồ bơi V2 bị ảnh hưởngtrong khi V3 vẫn hoạt động và không có thiệt hại, và báo cáo rằng các bộ phận kỹ thuật và an toàn đang ưu tiên điều tra để xác định các biện pháp ngăn chặn và các tuyến đường phục hồi tiềm năng.
Trên thị trường, mã thông báo BAL registró giảm hơn 5% sau khi vụ tấn công được biết đến, trong bối cảnh cảnh báo rộng rãi trong cộng đồng DeFiCác nhà phân tích trên chuỗi khuyến nghị tránh tương tác với nhóm Balancer cho đến khi có thông tin kỹ thuật đầy đủ.
Sự việc này bổ sung thêm vào các tập trước: trong 2020Một cuộc tấn công đã khai thác việc xử lý các mã thông báo giảm phát trong khoảng 500.000 đô la; trong agosto de 2023 tổn thất gần như 1 millón do lỗ hổng trong hồ bơi tăng cường; và cùng năm đó một Tấn công DNS được chuyển hướng đến một trang web của lừa đảo, với số tiền cướp được ước tính là 238.000 đô la.
Para usuarios de Tây Ban Nha và EUVụ án mở lại cuộc tranh luận về quản lý rủi ro trong các giao thức tổng hợp và nhu cầu kiểm toán nhanh nhẹn, công cụ bảo vệ người dùng và phối hợp liên giao thức, phù hợp với động lực quản lý của Châu Âu (Mica) hướng tới các tiêu chuẩn an toàn khắt khe hơn.
Với những tổn thất đã ở trên 128 tỷ Và với một cuộc điều tra đang diễn ra, tập phim Balancer đưa ra một số bài học: tầm quan trọng của việc kiểm soát truy cập mạnh mẽ trong các chức năng quan trọng, việc xem xét liên tục các hợp đồng cũ trong V2và việc chuẩn bị các phản ứng phối hợp—bao gồm cả tùy chọn Phần thưởng White Hat— để giảm thiểu thiệt hại và khôi phục lòng tin.
Tôi là một người đam mê công nghệ và đã biến sở thích “đam mê” của mình thành một nghề. Tôi đã dành hơn 10 năm cuộc đời mình để sử dụng công nghệ tiên tiến và mày mò đủ loại chương trình chỉ vì tò mò. Bây giờ tôi chuyên về công nghệ máy tính và trò chơi điện tử. Điều này là do trong hơn 5 năm, tôi đã viết cho nhiều trang web khác nhau về công nghệ và trò chơi điện tử, tạo ra các bài viết nhằm cung cấp cho bạn thông tin bạn cần bằng ngôn ngữ mà mọi người đều có thể hiểu được.
Nếu bạn có bất kỳ câu hỏi nào, kiến thức của tôi bao gồm mọi thứ liên quan đến hệ điều hành Windows cũng như Android dành cho điện thoại di động. Và cam kết của tôi là với bạn, tôi luôn sẵn sàng dành một vài phút và giúp bạn giải quyết mọi thắc mắc mà bạn có thể có trong thế giới internet này.