«Протокол децентралізованих фінансів (DeFi) Balancer втратив 128 мільйонів доларів після зловмисного використання. Дані в ланцюжку показують активи на суму понад 128 мільйонів доларів США, виведені зі сховищ протоколу.», — джерело: cryptodaily.co.uk
Протокол децентралізованих фінансів (DeFi) Balancer втратив 128 мільйонів доларів після зловмисного використання. Дані в ланцюжку показують активи на суму понад 128 мільйонів доларів США, виведені зі сховищ протоколу.
Викрадені кошти включають osETH, WETH і wstETH, при цьому експлуататор консолідує вкрадені активи, що викликає занепокоєння щодо відмивання.
Балансувальник постраждав від експлойту
Balancer, відомий протокол децентралізованих фінансів (DeFi), постраждав від великого експлойту, дані в ланцюжку показують, що понад 128 мільйонів доларів активів було переміщено в новий гаманець. Згідно з даними блокчейну, викрадені кошти включають 6850 osETH, 6590 WETH і 4260 wstETH, причому злом вплинув на сховища на Balancer v2. Сховища версії 2 протоколу діють як його центральний механізм ліквідності, агрегуючи токени та полегшуючи торгівлю між пулами ліквідності. Команда Balancer визнала злом X, заявивши,
“Ми знаємо про потенційний експлойт, який впливає на пули Balancer v2. Наші команди інженерів і безпеки проводять розслідування з високим пріоритетом. Ми поділимося перевіреними оновленнями та наступними кроками, щойно отримаємо більше інформації”.
Сховища Sonic, Polygon і Base також постраждали.
Мікко Охтамаа, співзасновник і генеральний директор Trading Strategy, зазначив, що попередній аналіз атаки вказує на неправильний смарт-контракт як основну причину атаки. Він додав, що, хоча не всі версії Balancer постраждали, втрати можуть бути вищими, якщо старі форки v2 мають ту саму вразливість, яку використовує зловмисник. Охоронна компанія PeckShield заявила, що атака все ще триває в кількох мережах, на яких розгорнуто Balancer.
Як розгортався напад
За даними охоронної компанії Decurity, атака сталася через несправний контроль доступу у функції «manageUserBalance» Balancer. Уразливість була в ValidateUserBalanceOp, який перевіряє msg.sender на наданий користувачем op.sender, логічну помилку, яка дозволяє несанкціоноване зняття через операцію UserBalanceOpKind.WITHDRAW_INTERNAL.
Простіше кажучи, вразливість дозволила зловмисникам ініціювати внутрішнє зняття балансу зі смарт-контрактів Balancer без необхідних дозволів.
“manageUserBalance у Balancer має помилкову перевірку доступу. У _validateUserBalanceOp він перевіряє msg.sender на наданий користувачем op.sender. Це дозволяє виконувати UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1).”
Експерти з безпеки в мережі підкреслили, що адреса зловмисника вже почала консолідувати активи, що викликає занепокоєння, що вони готуються відмивати кошти через децентралізовані міксери.
Третій експлойт
Балансир це децентралізована платформа, побудована на Ethereum, яка дозволяє користувачам торгувати токенами та забезпечувати ліквідність за допомогою пулів, що самобалансуються. Протокол активний з 2020 року і містить понад 350 мільйонів доларів у TVL лише на Ethereum. Останній інцидент є третім відомим порушенням безпеки для Balancer. Раніше платформа зазнавала експлойтів у 2021 і 2023 роках, втративши мільйони. Експерти з он-чейну заявили, що сховище є основним розумним контрактом Balancer, у якому зберігаються токени з кожного пулу Balancer.
Дизайн був представлений у Balancer v2 і відокремлює облік токенів від логіки пулу, роблячи пули меншими, простішими та безпечнішими для створення. Цей підхід дозволив будь-кому підключити новий дизайн пулу без створення нового DEX.
Відмова від відповідальності: ця стаття надається лише для інформаційних цілей. Він не пропонується та не призначений для використання як юридичні, податкові, інвестиційні, фінансові чи інші поради.
