Kolejny kryzys w DeFi! Z Balancer skradziono ponad 116 milionów dolarów, a straty wciąż rosną!

Około godziny 15:48 czasu wschodnioazjatyckiego 3 listopada, platforma monitorująca dane on-chain nagle wykryła: Balancer, adres skarbca znanego protokołu DeFi, wykonał nietypowo dużą transakcję.

Zgodnie z danymi Etherscan, aktywa wielołańcuchowe, w tym 6 587 WETH (około 24,5 miliona dolarów), 6 851 osETH (około 26,9 miliona dolarów) oraz 4 260 wstETH (około 19,3 miliona dolarów), zostały przetransferowane do zewnętrznego portfela.

Wielu analityków on-chain uważa, że może to być potencjalne wykorzystanie luki lub nieautoryzowana wypłata, a nie rutynowa migracja płynności. Kilku dostawców analiz blockchain, w tym Nansen, oznaczyło te transakcje jako podejrzane.

Zgodnie z monitoringiem firmy zajmującej się bezpieczeństwem blockchain PeckShield, atak trwa na wielu sieciach, w tym na Ethereum.

Do godziny 16:48 czasu wschodnioazjatyckiego, adres atakującego (0x54B5…30d) wykonał kolejną transakcję, wywołując funkcję 0x8a4f75d6, a Lookonchain potwierdził, że całkowite straty przekroczyły 116 milionów dolarów.

Współzałożyciel Trading Strategy, Mikko Ohtamaa, wskazał, że wstępna analiza sugeruje, iż źródłem luki jest wada w mechanizmie sprawdzania smart kontraktu. Chociaż nie wszystkie wersje Balancer są dotknięte, jeśli stare forki V2 mają tę samą lukę, całkowite straty mogą jeszcze wzrosnąć.

Bezpieczeństwo DeFi nadal pozostaje wyzwaniem

To nie pierwszy raz, gdy Balancer napotyka problemy z bezpieczeństwem.

• Już w 2020 roku protokół poniósł stratę około 500 tysięcy dolarów, ponieważ nie uwzględnił specjalnych zachowań tokenów z opłatą za transfer, co pozwoliło atakującym manipulować aktywami puli poprzez flash loan.

• W sierpniu 2023 roku w Boosted Pool Balancer V2 wykryto lukę, która mimo oficjalnego ostrzeżenia została wykorzystana, powodując stratę około 1 miliona dolarów.

• We wrześniu tego samego roku domena front-end Balancer została przejęta przez atak DNS hijacking, a użytkownicy, którzy podpisali transakcje na stronie phishingowej, stracili łącznie prawie 240 tysięcy dolarów.

Obecnie najnowsza fala ataków ponownie stawia bezpieczeństwo DeFi w centrum uwagi. Od projektowania kontraktów po wdrożenie front-endu, od logiki puli płynności po zarządzanie aktywami cross-chain, Balancer wydaje się nieustannie zmagać z wyzwaniami bezpieczeństwa.

Co więcej, Balancer jest protokołem pełniącym rolę węzła płynności, więc jego problemy nie dotyczą tylko jego samego. Dotknięci zostają LP, agregatory, pule aktywów, strategie Vault i inne zależne od niego podmioty.

Świat DeFi opiera się na zasadzie „braku zaufania”, ale wobec kolejnych przypadków wykorzystania luk, komu użytkownicy mogą naprawdę zaufać? Po pięciu latach rozwoju DeFi nie jest już niszową zabawą geeków, lecz infrastrukturą finansową zarządzającą miliardami dolarów. Niestety, nawet czołowe protokoły jak Balancer nie mogą uniknąć losu, w którym stare problemy nie zostały rozwiązane, a pojawiają się nowe.

Odpowiedź Balancer po dwóch godzinach

O godzinie 17:50 czasu wschodnioazjatyckiego, czyli dwie godziny po incydencie, Balancer zaktualizował swój oficjalny Twitter: wykryto lukę, która może mieć wpływ na pule Balancer v2. Nasz zespół inżynierów i specjalistów ds. bezpieczeństwa prowadzi intensywne dochodzenie i natychmiast podzielimy się potwierdzonymi aktualizacjami oraz dalszymi krokami, gdy tylko uzyskamy więcej informacji.

Bitpush nadal monitoruje rozwój sytuacji i natychmiast przekaże najnowsze informacje. Prosimy o śledzenie aktualizacji.