Balancer зазнав експлуатації, оскільки $128 млн переміщено з сховищ

Децентралізований фінансовий (DeFi) протокол Balancer втратив $128 мільйонів після зловмисної експлуатації. Ончейн дані показують, що з сховищ протоколу було виведено понад $128 мільйонів активів. 

Викрадені кошти включають osETH, WETH та wstETH, при цьому зловмисник консолідує викрадені активи, що викликає занепокоєння щодо відмивання грошей. 

Balancer постраждав від експлойту 

Balancer, відомий децентралізований фінансовий (DeFi) протокол, зазнав серйозної атаки, а ончейн дані показують, що понад $128 мільйонів активів було переміщено на новий гаманець. Згідно з даними блокчейну, викрадені кошти включають 6 850 osETH, 6 590 WETH та 4 260 wstETH, а хакерська атака вплинула на сховища Balancer v2. Сховища протоколу v2 діють як його центральний механізм ліквідності, агрегуючи токени та полегшуючи торгівлю між пулами ліквідності. Команда Balancer підтвердила хакерську атаку на X, заявивши, 

Сховища на Sonic, Polygon та Base також постраждали. 

Мікко Охтамаа, співзасновник і генеральний директор Trading Strategy, зазначив, що попередній аналіз атаки вказує на несправний смартконтракт як основну причину атаки. Він додав, що хоча не всі версії Balancer постраждали, збитки можуть бути вищими, якщо старіші форки v2 мають ту саму вразливість, яку використав зловмисник. Компанія з безпеки PeckShield заявила, що атака все ще триває на кількох блокчейнах, на яких розгорнуто Balancer. 

Як розгорталася атака 

За даними компанії з безпеки Decurity, атака сталася через несправний контроль доступу у функції Balancer "manageUserBalance". Вразливість була у ValidateUserBalanceOp, яка перевіряє msg.sender проти наданого користувачем op.sender, логічна помилка, яка дозволяє несанкціоновані зняття через операцію UserBalanceOpKind.WITHDRAW_INTERNAL. 

Простіше кажучи, вразливість дозволила зловмисникам ініціювати внутрішні зняття балансу зі смартконтрактів Balancer без необхідних дозволів. 

Експерти з ончейн безпеки підкреслили, що адреса зловмисника вже почала консолідувати активи, що викликає занепокоєння, що вони готуються відмивати кошти через децентралізовані міксери. 

Третій експлойт 

Balancer - це децентралізована платформа, побудована на Ethereum, яка дозволяє користувачам торгувати токенами та забезпечувати ліквідність за допомогою своїх пулів самобалансування. Протокол активний з 2020 року і утримує понад $350 мільйонів загальної заблокованої вартості (TVL) лише на Ethereum. Останній інцидент є третім відомим порушенням безпеки для Balancer. Платформа раніше зазнавала експлойтів у 2021 та 2023 роках, втративши мільйони. Експерти з ончейн заявили, що сховище є основним смартконтрактом Balancer, що містить токени з кожного пулу Balancer. 

Дизайн був представлений у Balancer v2 і відокремлює облік токенів від логіки пулу, роблячи пули меншими, простішими та безпечнішими для створення. Цей підхід дозволив будь-кому підключити новий дизайн пулу без створення нової DEX.

Відмова від відповідальності: ця стаття надається лише для інформаційних цілей. Вона не пропонується і не призначена для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.