Злам Balancer призвів до втрати понад 100 мільйонів доларів, завдавши нищівного удару по індустрії DeFi

Original Article Title: "Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

Original Article Author: Wenser, Odaily Planet Daily

Примітка редактора: Сьогодні протокол DeFi Balancer став жертвою злому, і сума викрадених коштів вже перевищила 116 мільйонів доларів. Декілька проєктів вжили заходів для мінімізації наслідків: Lido відкликав свою неушкоджену позицію в Balancer, а Berachain оголосив про зупинку мережі для проведення екстреного хардфорку з метою усунення вразливості, пов’язаної з Balancer V2 на BEX.

Крім того, Hasu, стратегічний директор Flashbots і стратегічний радник Lido, у своєму пості зазначив: "Balancer v2 був запущений у 2021 році й відтоді став одним із найпильніше відстежуваних і найчастіше форкованих смарт-контрактів. Це дуже тривожна ситуація. Кожного разу, коли зламують контракт, який працює так довго, це відкидає впровадження DeFi на 6–12 місяців назад." Далі наводиться оригінальний зміст:

3 листопада стало відомо, що у ветеранського DeFi-протоколу Balancer було викрадено понад 70 мільйонів доларів активів. Згодом цю новину підтвердили кілька джерел, а розмір викрадених коштів продовжував зростати. На момент написання статті сума викрадених активів із Balancer перевищила 116 мільйонів доларів. Odaily коротко аналізує цей інцидент у цій статті.

Деталі злому Balancer: втрати перевищують 116 мільйонів доларів, основна причина — вразливість смарт-контракту пулу v2

Згідно з інформацією з блокчейну, зловмисник Balancer вже викрав понад 116 мільйонів доларів активів, основними з яких є WETH, wstETH, osETH, frxETH, rsETH, rETH, розподілені по різних ланцюгах, таких як ETH, Base, Sonic тощо, де:

· Активи, викрадені в мережі Ethereum: приблизно 100 мільйонів доларів;

· Активи, викрадені в мережі Arbitrum: майже 8 мільйонів доларів;

· Активи, викрадені в мережі Base: майже 3,95 мільйона доларів;

· Активи, викрадені в мережі Sonic: понад 3,4 мільйона доларів;

· Активи, викрадені в мережі Optimism: майже 1,57 мільйона доларів;

· Викрадення активів у мережі Polygon: приблизно 230 000 доларів.

Крипто-KOL Adi повідомив, що попереднє розслідування вказує на те, що атака була спрямована переважно на сховище Balancer V2 і пул ліквідності, використовуючи вразливість у взаємодії смарт-контрактів. Дослідники блокчейну зазначили, що шкідливий контракт, розгорнутий зловмисником, маніпулював викликом Vault під час ініціалізації пулу. Неправильна авторизація та обробка зворотних викликів дозволили зловмиснику обійти захисні механізми, що дало змогу несанкціоновано здійснювати свопи між взаємопов’язаними пулами ліквідності або маніпулювати балансами, що призвело до швидкого викрадення активів протягом кількох хвилин.

На основі наявної інформації немає доказів компрометації приватних ключів; це виключно вразливість смарт-контракту.

Аудитор фірми kebabsec і розробник citrea @okkothejawa також зазначив: "Помилка перевірки, згадана @moo9000, можливо, не є коренем проблеми, оскільки у всіх викликах 'manageUserBalance' ops.sender == msg.sender. Вразливість безпеки могла виникнути в транзакції до створення контракту, який витягує активи, оскільки це призвело до певних змін стану у сховищі Balancer."

Офіційна відповідь Balancer: "Наша команда знає про потенційну вразливість, що впливає на пули Balancer v2. Наші інженерні та безпекові команди активно проводять розслідування з найвищим пріоритетом. Як тільки ми отримаємо більше інформації, негайно поділимося перевіреними оновленнями та подальшими кроками."

Berachain, який також піддається ризику втрати активів, оперативно відреагував. Після публікації Berachain Foundation, засновник Berachain Smokey The Bera заявив: "Група вузлів Bera проактивно призупинила роботу публічного ланцюга, щоб не допустити впливу вразливості Balancer на BEX (переважно трипул USDe).

· Доручити команді Ethena вимкнути міст Bera

· Вимкнути/призупинити депозити USDe на ринку кредитування

· Призупинити карбування та обмін токенів HONEY

· Зв’язатися з CEX і переконатися, що адреси хакерів занесені до чорного списку

Наша мета — якнайшвидше повернути кошти та забезпечити безпеку всіх LP. Команда Berachain негайно випустить бінарні файли для відповідних валідаторів вузлів і постачальників послуг, щойно вони будуть готові (оскільки цей пул містить не нативні активи, це вимагає певної переконфігурації слотів, а не лише зміни балансу токенів Bera)."

Злом Balancer: найбільше нервують криптовалютні кити

Як добре відомий DeFi-протокол, користувачі Balancer, без сумніву, є найбільш безпосередньо постраждалими від цього злому. Для поточних користувачів можливі такі дії:

· Вивести кошти з пулів Balancer v2, щоб запобігти подальшим втратам;

· Відкликати авторизацію: скористатися Revoke, DeBank або Etherscan для відкликання дозволів смарт-контракту з адреси Balancer, щоб уникнути потенційних ризиків безпеки;

· Бути пильними: уважно стежити за подальшими діями зловмисника Balancer і тим, чи матимуть вони ланцюговий вплив на інші DeFi-протоколи.

Крім того, у цьому зломі привернув увагу криптовалютний кит, який не проявляв активності протягом 3 років.

Згідно з моніторингом LookonChain, криптовалютний кит, який не проявляв активності 3 роки, з адресою 0x009023dA14A3C9f448B75f33cEb9291c21373bD8, раптово прокинувся після виявлення вразливості на платформі Balancer. Кит прагне вивести свої пов’язані активи на суму 6,5 мільйона доларів із Balancer. Інформація з блокчейну:

Останні події: хакер почав обмін токенів

Згідно з моніторингом аналітика Yu Jin, хакер, який зламав Balancer, почав намагатися обмінювати багато токенів із ліквідністю (LST) на ETH. Раніше хакер обміняв 10 osETH на 10,55 ETH.

Дані з блокчейну показують, що хакер постійно обмінює викрадені активи на різних ланцюгах на ETH, USDC та інші активи за допомогою Cow Protocol. Наразі надія на повернення цих викрадених активів виглядає примарною.

У майбутньому, чи зможе Balancer оперативно виявити вразливість протоколу та швидко повернути викрадені активи або надати відповідне рішення, Odaily продовжить стежити за ситуацією.