Ang isyu sa code ng Balancer ay nagdulot ng higit sa 100 millions na pagkalugi, halos nagdulot ng mapanirang epekto sa industriya ng DeFi

Orihinal na Pamagat: 《Old-school DeFi Nahulog: Balancer V2 Contract Vulnerability, Mahigit 1.1 Billion USD na Asset ang Ninakaw》

Orihinal na May-akda: Wenser, Odaily

Nota mula sa Rhythm: Ngayon, ang DeFi protocol na Balancer ay inatake ng hacker, at ang halaga ng ninakaw na pondo ay lumampas na sa 1.16 billion USD. Maraming proyekto ang nagsagawa ng mga hakbang para iligtas ang sarili: Ang Lido ay inalis na ang kanilang mga hindi apektadong Balancer positions; Ang Berachain naman ay nag-anunsyo ng agarang pagpapatigil ng network upang magsagawa ng emergency hard fork para ayusin ang Balancer V2 na kaugnay na bug sa BEX.

Bukod pa rito, ang Flashbots Strategy Director at Lido Strategy Advisor na si Hasu ay nag-post na, "Ang Balancer v2 ay inilunsad noong 2021, at mula noon ay naging isa sa mga pinaka-binabantayan at madalas na nafo-fork na smart contract. Ito ay talagang nakakabahala. Sa tuwing ang isang contract na matagal nang naka-online ay naaatake, ang proseso ng pag-adopt ng DeFi ay napapaurong ng 6 hanggang 12 buwan." Narito ang orihinal na nilalaman:

Noong Nobyembre 3, ang old-school DeFi protocol na Balancer ay napaulat na ninakawan ng mahigit 70 million USD na asset. Pagkatapos, kinumpirma ito ng maraming panig, at ang halaga ng ninakaw na pondo ay patuloy na tumaas. Sa oras ng pagsulat, ang halaga ng ninakaw na asset mula sa Balancer ay tumaas na sa mahigit 1.16 billion USD. Ang Odaily ay magbibigay ng maikling pagsusuri ukol dito.

Detalye ng Pagkakabiktima ng Balancer: Mahigit 1.16 Billion USD ang Nawalang Pondo, Pangunahing Dahilan ay ang Vulnerability sa v2 Pool Smart Contract

Ayon sa impormasyon on-chain, ang attacker ng Balancer ay nakakuha na ng mahigit 1.16 billion USD, at ang mga pangunahing ninakaw na asset ay kinabibilangan ng WETH, wstETH, osETH, frxETH, rsETH, rETH, na nakakalat sa ETH, Base, Sonic at iba pang mga chain, kabilang ang:

· Mga asset na ninakaw sa Ethereum chain: halos 1 billion USD;

· Mga asset na ninakaw sa Arbitrum chain: halos 8 million USD;

· Mga asset na ninakaw sa Base chain: halos 3.95 million USD;

· Mga asset na ninakaw sa Sonic chain: mahigit 3.4 million USD;

· Mga asset na ninakaw sa Optimism chain: halos 1.57 million USD;

· Mga asset na ninakaw sa Polygon chain: mga 230,000 USD.

Ipinahayag ng crypto KOL na si Adi na, ayon sa paunang imbestigasyon, ang pag-atake ay pangunahing nakatuon sa V2 vault at liquidity pool ng Balancer, gamit ang vulnerability sa smart contract interaction. Ayon sa mga on-chain investigator, isang malicious contract ang na-deploy at ginamit upang manipulahin ang Vault call sa panahon ng liquidity pool initialization. Ang maling authorization at callback handling ay nagbigay-daan sa attacker na lampasan ang mga proteksyon, na nagresulta sa unauthorized swap o balance manipulation sa pagitan ng interconnected liquidity pools, kaya mabilis na nanakaw ang mga asset sa loob ng ilang minuto.

Ayon sa kasalukuyang impormasyon, walang leakage ng private key, ito ay isang purong smart contract vulnerability.

Ang auditor mula sa auditing firm na kebabsec at citrea developer na si @okkothejawa ay nag-post din na, "Ang (error na binanggit ni @moo9000) ay maaaring hindi ang root cause, dahil sa lahat ng 'manageUserBalance' calls ay ops.sender == msg.sender. Ang security vulnerability ay maaaring nangyari sa transaksyon bago pa malikha ang contract na nagwi-withdraw ng asset, dahil ito ay nagdulot ng ilang pagbabago sa estado ng Balancer vault."

Ang opisyal na Balancer ay nagbigay din ng pahayag: "Ang opisyal na team ay alam na ang potensyal na vulnerability na nakakaapekto sa Balancer v2 pools. Ang aming engineering at security team ay inuuna ang imbestigasyon. Sa sandaling makakuha kami ng karagdagang impormasyon, agad naming ibabahagi ang validated updates at mga susunod na hakbang."

Samantala, ang Berachain na may potensyal na risk ng asset loss ay agad ding nagbigay ng kanilang tugon. Pagkatapos mag-post ng Berachain Foundation, ang founder ng Berachain na si Smokey The Bera ay nag-anunsyo na, "Ang Bera node group ay kusang pinatigil ang pagpapatakbo ng public chain upang maiwasan ang epekto ng Balancer vulnerability sa BEX (pangunahin sa USDe three pool).

· Pinahinto ang Bera bridge ng Ethena team

· Pinahinto/pinagbabawal ang USDe deposit sa lending market

· Pinahinto ang minting at redemption ng HONEY token

· Nakipag-ugnayan sa CEX at iba pa upang matiyak na ang hacker address ay nailagay sa blacklist

Ang aming layunin ay mabilis na mabawi ang mga pondo at matiyak ang kaligtasan ng lahat ng LP. Ang Berachain team ay maglalabas ng binary file sa mga kaugnay na node validator at service provider kapag handa na (dahil ang pool na ito ay naglalaman ng non-native asset, kaya may kasamang ilang slot restructuring at hindi lang simpleng pagbabago ng Bera token balance)."

Sa Pagkakabiktima ng Balancer, Pinakanababahala ang Crypto Whales

Bilang isang old-school DeFi protocol, ang mga user ng Balancer ang pinaka-direktang naapektuhan ng insidenteng ito. Para sa mga kasalukuyang user, ang maaaring gawin ay:

· I-withdraw ang pondo mula sa Balancer v2 pool upang maiwasan ang paglala ng pagkawala;

· I-revoke ang authorization: Gamitin ang Revoke, DeBank, o Etherscan upang kanselahin ang smart contract permission ng Balancer address at maiwasan ang potensyal na security risk;

· Manatiling alerto: Bantayang mabuti ang susunod na galaw ng attacker ng Balancer at kung magkakaroon ng chain reaction sa iba pang DeFi protocols.

Bukod dito, sa insidenteng ito, isang crypto whale na natulog ng 3 taon ang nakakuha ng pansin ng merkado.

Ayon sa monitoring ng LookonChain, isang crypto whale na may address na 0x0090 na natulog ng 3 taon ay biglang nagising matapos ang Balancer platform vulnerability, at nagmadaling i-withdraw ang kanyang asset na nagkakahalaga ng 6.5 million USD mula sa Balancer.

Mga Sumunod na Pangyayari: Sinimulan ng Hacker ang Token Swap Mode

Ayon sa on-chain analyst na si Yu Jin, ang hacker ng Balancer ay nagsimula nang subukang i-swap ang iba't ibang liquid staking tokens (LST) para maging ETH. Dati, nag-swap siya ng 10 osETH para sa 10.55 ETH.

Ipinapakita ng on-chain information na ang hacker ay patuloy na ginagamit ang Cow Protocol upang i-swap ang mga ninakaw na asset mula sa iba't ibang chain papuntang ETH, USDC at iba pang asset. Sa kasalukuyan, tila maliit ang pag-asa na mabawi pa ang mga ninakaw na asset.

Sa mga susunod na araw, kung ang Balancer ay agad na makakahanap ng protocol contract vulnerability at mabilis na mabawi ang mga ninakaw na asset o makapagbigay ng kaukulang solusyon, ang Odaily ay patuloy na magbibigay ng update.

Orihinal na Link