Kerugian akibat celah keamanan Balancer V2 melebihi 116 juta dolar AS, protokol multi-chain terdampak

Judul Asli: "DeFi Klasik Terkapar: Kerentanan Kontrak Balancer V2, Lebih dari 1.1 Miliar Dolar AS Aset Dicuri"

Penulis Asli: Wenser, Odaily

Pada 3 November, protokol DeFi klasik Balancer dilaporkan kehilangan lebih dari 70 juta dolar AS aset akibat pencurian. Setelah itu, kabar ini dikonfirmasi oleh berbagai pihak, dan jumlah dana yang dicuri terus meningkat. Hingga saat artikel ini ditulis, nilai aset yang dicuri dari Balancer telah bertambah menjadi lebih dari 1.16 miliar dolar AS. Odaily akan memberikan analisis singkat mengenai insiden ini dalam artikel ini.

Rincian Pencurian Balancer: Kerugian Lebih dari 1.16 Miliar Dolar AS, Penyebab Utama Kerentanan Kontrak Pintar Pool v2

Berdasarkan informasi on-chain, pelaku serangan Balancer saat ini telah mencuri dana lebih dari 1.16 miliar dolar AS, dengan aset utama yang dicuri meliputi WETH, wstETH, osETH, frxETH, rsETH, rETH, tersebar di berbagai chain seperti ETH, Base, Sonic, dan lainnya, di antaranya:

· Aset yang dicuri di chain Ethereum: sekitar 100 juta dolar AS;

· Aset yang dicuri di chain Arbitrum: sekitar 8 juta dolar AS;

· Aset yang dicuri di chain Base: sekitar 3.95 juta dolar AS;

· Aset yang dicuri di chain Sonic: lebih dari 3.4 juta dolar AS;

· Aset yang dicuri di chain Optimism: sekitar 1.57 juta dolar AS;

· Aset yang dicuri di chain Polygon: sekitar 230 ribu dolar AS.

KOL kripto Adi menyatakan dalam postingannya, investigasi awal menunjukkan bahwa serangan ini terutama menargetkan vault dan pool likuiditas Balancer V2, dengan memanfaatkan kerentanan dalam interaksi kontrak pintar. Peneliti on-chain menunjukkan bahwa sebuah kontrak berbahaya yang dideploy memanipulasi panggilan Vault selama inisialisasi pool likuiditas. Otorisasi dan penanganan callback yang tidak tepat memungkinkan penyerang untuk melewati mekanisme perlindungan, sehingga memungkinkan pertukaran Swap atau manipulasi saldo antar pool likuiditas yang saling terhubung tanpa izin, sehingga aset dapat dicuri dengan cepat hanya dalam beberapa menit.

Berdasarkan informasi yang ada, tidak ditemukan adanya kebocoran private key, ini murni merupakan kerentanan kontrak pintar.

Auditor dari lembaga audit kebabsec dan developer citrea @okkothejawa juga menyatakan, "(Pemeriksaan error yang disebutkan oleh @moo9000) mungkin bukan penyebab utama, karena dalam semua pemanggilan 'manageUserBalance' ops.sender == msg.sender. Kerentanan keamanan mungkin terjadi pada transaksi sebelum kontrak penarikan aset dibuat, karena menyebabkan perubahan status tertentu dalam vault Balancer."

Pihak resmi Balancer juga merespons dengan menyatakan: "Tim resmi telah mengetahui potensi kerentanan yang memengaruhi pool Balancer v2. Tim engineering dan keamanan kami sedang melakukan investigasi dengan prioritas tinggi. Begitu kami mendapatkan informasi lebih lanjut, kami akan segera membagikan pembaruan yang telah diverifikasi dan langkah selanjutnya."

Berachain, yang juga berpotensi berisiko kehilangan aset, segera memberikan respons. Setelah pengumuman dari Berachain Foundation, pendiri Berachain Smokey The Bera menyatakan, "Kelompok node Bera telah secara proaktif menghentikan operasi chain publik untuk mencegah dampak kerentanan Balancer terhadap BEX (terutama pool USDe tiga)."

· Meminta tim Ethena untuk menonaktifkan bridging Bera

· Pasar pinjaman menonaktifkan/menangguhkan deposit USDe

· Menangguhkan minting dan penukaran token HONEY

· Berkoordinasi dengan CEX dan lainnya untuk memastikan alamat hacker masuk daftar hitam

Tujuan kami adalah segera memulihkan dana dan memastikan keamanan semua LP. Tim Berachain akan segera merilis file biner kepada validator node dan penyedia layanan terkait setelah siap (karena pool ini berisi aset non-native, maka melibatkan beberapa rekonstruksi slot, bukan hanya modifikasi saldo token Bera)."

Setelah Balancer Dicuri, Para Whale Kripto Paling Cemas

Sebagai protokol DeFi klasik, pengguna Balancer jelas menjadi pihak yang paling terdampak langsung dalam insiden pencurian ini. Untuk pengguna saat ini, langkah-langkah yang dapat diambil meliputi:

· Menarik dana dari pool Balancer v2 untuk menghindari kerugian lebih lanjut;

· Membatalkan otorisasi: menggunakan Revoke, DeBank, atau Etherscan untuk membatalkan izin kontrak pintar pada alamat Balancer, guna menghindari risiko keamanan potensial;

· Tetap waspada: memantau dengan seksama langkah selanjutnya dari pelaku serangan Balancer serta potensi dampaknya terhadap protokol DeFi lain.

Selain itu, dalam insiden pencurian kali ini, ada satu whale kripto yang telah tidur selama 3 tahun yang menarik perhatian pasar.

Menurut pemantauan LookonChain, seorang whale kripto yang telah tidak aktif selama 3 tahun dengan alamat 0×0090 baru saja aktif kembali setelah terjadinya kerentanan di platform Balancer, dan buru-buru menarik aset senilai 6.5 juta dolar AS miliknya dari Balancer.

Perkembangan Selanjutnya: Hacker Mulai Menukar Token

Menurut pemantauan analis on-chain Yu Jin, hacker dalam insiden pencurian Balancer telah mulai mencoba menukar berbagai token staking likuiditas (LST) menjadi ETH, sebelumnya mereka telah menukar 10 osETH menjadi 10.55 ETH.

Informasi on-chain menunjukkan, hacker terus-menerus menukar aset curian di berbagai chain menjadi ETH, USDC, dan aset lainnya melalui Cow Protocol. Saat ini, harapan untuk memulihkan aset curian tersebut tampaknya sangat kecil.

Kedepannya, apakah Balancer dapat segera menemukan kerentanan kontrak protokol dan dengan cepat memulihkan aset yang dicuri atau menyediakan solusi yang sesuai, Odaily akan terus memantau perkembangan ini.