Na-hack ang Balancer ng mahigit 120 million na pondo, ano ang dapat mong gawin?

Chainfeeds Panimula:

Sa kasalukuyan, ang kabuuang halaga ng ninakaw ay umabot na sa 128.64 milyong US dollars, at ang pag-atake ay nagpapatuloy pa rin.

Pinagmulan ng Artikulo:

Foresight News

Opinyon:

Foresight News: Noong hapon ng Nobyembre 3, ang matagal nang DeFi protocol na Balancer ay nakaranas ng malaking pag-atake dahil sa isang seryosong kahinaan sa seguridad. Ginamit ng mga umaatake ang manipulasyon ng core smart contract ng protocol upang sa loob lamang ng ilang oras ay mailipat ang mahigit 110 milyong US dollars na halaga ng crypto assets mula sa iba't ibang liquidity pools, at direktang nailipat ang pondo mula sa treasury ng Balancer papunta sa kontroladong wallet. Ayon sa datos ng DeBank, umabot sa 99.85 milyong US dollars ang halaga ng ninakaw sa Ethereum ecosystem, 7.95 milyong US dollars sa Arbitrum chain, 3.94 milyong US dollars sa Base, humigit-kumulang 3.4 milyong US dollars sa Sonic, at 1.56 milyong US dollars sa Optimism chain. Ayon sa resulta ng pagsubaybay ng SlowMist, tumaas pa ang kabuuang halaga ng ninakaw sa 128.64 milyong US dollars, na nadagdagan ng 12.86 milyong US dollars mula sa Berachain ecosystem. Dahil dito, bumagsak ang presyo ng BAL coin sa humigit-kumulang 0.9 US dollars, na may higit sa 8% pagbaba sa loob ng 24 na oras. Matapos ang insidente, opisyal na itinigil ng Berachain ang pag-mint ng HONEY at ang mga function ng BEX pool at treasury, at nakipag-ugnayan sa mga validator node upang ihinto ang operasyon ng network, upang bigyang-daan ang core team na magsagawa ng emergency hard fork at ayusin ang kahinaan na may kaugnayan sa Balancer V2. Pagkalabas ng balita, agad na nag-withdraw ng pondo mula sa Balancer ang whale address na 0x0090 na hindi aktibo sa loob ng tatlong taon, na nagpapakita ng mabilis na pagkalat ng panic. Ipinapakita ng insidenteng ito hindi lamang ang pangunahing kahinaan ng Balancer V2 sa access control, kundi pati na rin kung paano naging mitsa ng mas malaking panganib ang cross-chain deployment architecture, na sumasaklaw sa Ethereum, Base, Polygon, Sonic at iba pang mga network. Sa oras ng pagsulat, nagpapatuloy pa rin ang pag-atake at sinusubukan ng security team na i-freeze ang mga kaugnay na address. Ang Balancer ay itinatag noong 2020 ng Balancer Labs at isa sa mga pangunahing AMM (automated market maker) protocol ng maagang DeFi ecosystem, na pangunahing tampok ang customizable na multi-asset liquidity pool design. Kaiba sa single-asset comparison mechanism ng Uniswap, pinapayagan ng Balancer ang mga user na magtakda ng iba't ibang asset weight combinations upang mapataas ang capital efficiency. Noong 2021, inilunsad nito ang V2 version na nagpakilala ng Boosted Pools at Vault system, na layuning idirekta ang idle funds sa pool patungo sa mga yield channel, bawasan ang slippage, at pataasin ang efficiency. Gayunpaman, ang komplikadong arkitekturang ito ay nagdagdag din ng panganib sa access control at external dependencies. Ayon sa pagsusuri, ang pangunahing dahilan ng pag-atake ay ang failure ng access control ng vault contract. Gumamit ang attacker ng flash loan mechanism upang magpanggap ng karapatan at mag-withdraw ng asset mula sa Boosted Pool, nilampasan ang authorization check at direktang nailipat ang pondo sa external address na 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Ang on-chain data (transaction hash 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) ay nagpapakita na sa loob lamang ng ilang minuto ay natapos ang maraming transfer, kabilang ang WETH, osETH, wstETH, frxETH, rsETH, rETH at iba pang pangunahing ETH derivatives. Ang ganitong paraan ng pag-atake ay kahalintulad ng Nomad Bridge incident noong 2022, na parehong sanhi ng pag-bypass sa access control logic. Ang cross-chain architecture ng Balancer ay nagpalawak pa ng saklaw ng epekto at nagpalaki ng kabuuang pinsala. Ang insidenteng ito ay hindi isang isolated case, kundi isang pagsabog ng matagal nang panganib sa seguridad ng Balancer. Mula nang ilunsad ang V2 noong 2021, bagama't dumaan na ito sa maraming audit, fuzz testing, at formal verification, madalas pa ring lumalabas ang mga kahinaan. Noong Hunyo 2021, nawalan ito ng 500,000 US dollars dahil sa smart contract issue, noong Agosto 2023 ay nakaranas ng DNS hijacking na nagdulot ng 270,000 US dollars na pagkawala, at noong Oktubre 2025 ay nagkaroon ng maliit na insidente na may kaugnayan sa "rate providers" manipulation. Ipinapakita ng sunud-sunod na insidente na may structural weakness ang Balancer sa access control at external dependencies. Ang pag-atakeng ito ay muling nagbigay-diin sa panganib ng pagkaluma ng DeFi protocol — ang codebase na tumatakbo ng maraming taon at madalas na nafo-fork ay mas madaling maging target ng mga hacker sa komplikadong multi-chain environment. Ayon kay Hasu, Strategic Director ng Flashbots at Lido advisor, "Simula nang ilunsad ang Balancer V2 noong 2021, ito ang isa sa mga pinaka-madalas na nafo-fork na smart contract. Tuwing may ganitong core protocol na nabibiktima ng pag-atake, ang buong DeFi industry ay napapaurong ng 6 hanggang 12 buwan." Sa kasalukuyan, kinumpirma na ng Balancer team na may kahinaan ang V2 pool at kasalukuyang nakikipagtulungan sa mga security company upang imbestigahan ang insidente.