Na-hack ang Balancer ng mahigit 120 milyong pondo, ano ang dapat mong gawin?

Sa kasalukuyan, ang kabuuang halaga ng ninakaw ay 128.64 milyong US dollars, at patuloy pa rin ang pag-atake.

May-akda: 1912212.eth, Foresight News

Noong hapon ng Nobyembre 3, ang matagal nang DeFi protocol na Balancer ay nakaranas ng malaking pag-atake dahil sa isang seryosong kahinaan sa seguridad. Sa pamamagitan ng pagmamanipula ng pangunahing smart contract ng protocol, nagtagumpay ang mga umaatake na makuha ang mahigit 110 milyong US dollars na halaga ng crypto assets mula sa iba't ibang liquidity pools ng Balancer at nailipat ang mga ito sa wallet na kontrolado ng mga umaatake sa loob lamang ng ilang oras. Bunsod ng insidente, bumagsak ang presyo ng BAL token sa paligid ng 0.9 US dollars, na may 24 na oras na pagbaba ng 8.64%.

Ayon sa datos ng debank, kabilang sa mga ninakaw na pondo ay 99.85 milyong US dollars mula sa Ethereum ecosystem, 7.95 milyong US dollars sa Arbitrum chain, 3.94 milyong US dollars sa Base ecosystem, 3.4 milyong US dollars sa Sonic, at 1.56 milyong US dollars sa OP chain.

Hanggang 5:41 ng hapon (UTC+8), ayon sa imbestigasyon ng SlowMist, ang kabuuang halaga ng ninakaw ay 128.64 milyong US dollars, na nadagdagan ng 12.86 milyong US dollars mula sa Berachain.

Inanunsyo ng opisyal ng Berachain na pansamantalang itinigil ang HONEY minting at ang mga function ng BEX pool/vault. Ang kanilang mga validator node ay nagkaisa upang ihinto ang operasyon ng Berachain network, upang bigyang-daan ang core team na magsagawa ng emergency hard fork at lutasin ang isyu ng kahinaan na may kaugnayan sa Balancer V2 sa BEX.

Ang napakalaking insidenteng ito ng pagnanakaw ay nagdulot din ng mabilis na pagkilos ng whale na 0x0090, na natulog ng tatlong taon, upang mag-withdraw ng pondo mula sa Balancer.

Hindi lamang nito inilantad ang kakulangan sa access control ng Balancer V2 architecture, kundi naapektuhan din ang maraming blockchain networks kabilang ang Ethereum mainnet, Base, Polygon, at Sonic, na nagdulot ng mabilis na pagtaas ng kabuuang pagkalugi.

Sa kasalukuyan, patuloy pa rin ang pag-atake.

Itinatag noong 2020, ang Balancer ay binuo ng Balancer Labs bilang isang automated market maker (AMM) protocol na nagpapahintulot sa mga user na lumikha ng custom na liquidity pools at sumusuporta sa pag-aadjust ng timbang ng iba't ibang asset. Hindi tulad ng mas simpleng AMM gaya ng Uniswap, ang disenyo ng Balancer ay mas nakatuon sa flexibility at capital efficiency, lalo na sa V2 version kung saan ipinakilala ang “Boosted Pools” at vault system na layuning i-optimize ang yield at bawasan ang slippage. Sa nakaraang DeFi boom, umabot sa 3.239 bilyong US dollars ang TVL ng Balancer.

Sa kasalukuyan, ang TVL ng protocol ay 678.44 milyong US dollars lamang.

Ipinapakita ng pagsusuri na ang pag-atake ay nagmula sa access control failure sa vault contract: ginamit ng mga umaatake ang flash loan mechanism upang magpanggap na may karapatan at mag-withdraw ng asset mula sa Boosted Pools. Partikular, sa pamamagitan ng pagmamanipula ng rate provider, nilampasan ng umaatake ang authorization check at direktang nailipat ang pondo mula sa vault papunta sa external address na 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Ang on-chain transaction hash (0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) ay nagpapakita na natapos ang maraming transfer sa loob ng ilang minuto, na kinasasangkutan ng mga ETH derivatives gaya ng WETH, osETH, wstETH, frxETH, rsETH, at rETH. Ang ganitong paraan ay kahalintulad ng mga nakaraang DeFi attack, gaya ng access control vulnerability ng Nomad Bridge noong 2022, ngunit pinalala ng multi-chain deployment ng Balancer ang panganib at nagdulot ng cross-chain losses.

Ang pinagmulan ng pag-atakeng ito ay maaaring masundan pabalik sa mga nakaraang isyu sa seguridad ng Balancer. Hindi ito ang unang beses na nalagay sa panganib ang protocol:

• Noong Hunyo 2021, nawalan ng 500,000 US dollars ang Balancer dahil sa smart contract vulnerability;
• Noong Agosto 2023, nagkaroon ng DNS hijacking attack na nagdulot ng paglabas ng 270,000 US dollars na pondo.

Ang pinakahuling maliit na kahinaan ay naganap noong Oktubre 2025, na may kaugnayan sa pagmamanipula ng rate providers.

Lahat ng mga insidenteng ito ay nagpapakita ng kahinaan ng protocol sa access control at panlabas na dependencies. Mula nang ilunsad ang V2 version noong 2021, halos limang taon na itong tumatakbo, dumaan na sa maraming audit, fuzz testing, at formal verification, ngunit hindi pa rin tuluyang naalis ang mga kahinaan.

Sinabi ni Hasu, Strategic Director ng Flashbots at Strategic Advisor ng Lido, na “Ang Balancer v2 ay inilunsad noong 2021 at mula noon ay naging isa sa mga pinaka-binabantayan at madalas na nafo-fork na smart contract. Ito ay lubhang nakakabahala. Sa tuwing ang isang contract na matagal nang naka-deploy ay naaatake, (natural lamang) na napapabagal ng 6 hanggang 12 buwan ang proseso ng pag-adopt ng DeFi.”

Sa kasalukuyan, naglabas ng pahayag ang Balancer team na maaaring may kahinaan ang V2 pools, at ang mga engineer at security team ay nagsasagawa ng imbestigasyon sa insidente.

Inirerekomenda ng Foresight News na agad na i-withdraw ng mga user ang kanilang pondo, kanselahin ang mga approval (halimbawa, sa Revoke.cash), at iwasan ang anumang kahina-hinalang phishing links.