Audyt Balancer pod lupą po exploicie na ponad 100 milionów dolarów

Wielu traderów kryptowalut poszukuje odpowiedzi po skutecznym ataku na zdecentralizowaną giełdę i automatycznego animatora rynku Balancer, w wyniku którego skradziono ponad 100 millions dolarów w aktywach cyfrowych.

W poniedziałkowym poście na X, w którym zaktualizowano użytkowników na temat exploita, Balancer poinformował, że incydent był „ograniczony do V2 Composable Stable Pools i nie wpływa na Balancer V3 ani inne pule Balancer”.

Platforma dodała, że „przeszła szeroko zakrojone audyty przeprowadzone przez czołowe firmy oraz przez długi czas prowadziła programy bug bounty, aby zachęcić niezależnych audytorów”, co rodzi pytania, jak doszło do exploita.

Źródło: Balancer

„Balancer przeszedł ponad 10 audytów”, powiedział Suhail Kakar, lider ds. relacji deweloperskich w TAC blockchain na X. „Vault był audytowany trzy razy przez różne firmy, a mimo to został zhakowany na 110M dolarów. Ta branża musi zaakceptować, że ‘audytowane przez X’ znaczy prawie nic. Kodowanie jest trudne, DeFi jest trudniejsze.”

Zgodnie z listą audytów Balancer V2 dostępną na GitHub, cztery różne firmy zajmujące się bezpieczeństwem — OpenZeppelin, Trail of Bits, Certora i ABDK — przeprowadziły łącznie 11 audytów smart kontraktów platformy, z czego ostatni audyt stable pool został wykonany przez Trail of Bits we wrześniu 2022 roku.

Cointelegraph zwrócił się do OpenZeppelin o komentarz, ale do czasu publikacji nie otrzymał odpowiedzi. Rzecznik Trail of Bits odmówił komentarza na temat exploita „dopóki nie zostanie zidentyfikowana przyczyna źródłowa i wszystkie forki Balancer nie będą bezpieczne”.

Powiązane: ‘Atak na Bitcoin’ — Bitcoiners krytykują ‘groźby prawne’ w propozycji soft fork

Exploit, o którym poinformowano w poniedziałek rano, spowodował przeniesienie ponad 116 millions dolarów w stakowanym Etherze (ETH) — w tym StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) i Lido wstETH (wSTETH) — do nowo utworzonego portfela. Analityk badawczy Nansen powiedział Cointelegraph, że incydent Balancer mógł wynikać z problemów ze smart kontraktem, który miał „wadliwą kontrolę dostępu pozwalającą atakującemu na wysłanie polecenia wypłaty środków”.

Projekt oferuje 20% bounty white hat za zwrot środków

W notatce transakcyjnej blockchain skierowanej do atakujących w poniedziałek, zespół Balancer zaoferował bounty white hat do 20% skradzionych środków, jeśli cała kwota zostanie zwrócona w ciągu 48 godzin od powiadomienia.

„[J]eśli zdecydujecie się nie współpracować, zaangażowaliśmy niezależnych specjalistów od analizy blockchain i aktywnie współpracujemy z wieloma organami ścigania oraz partnerami regulacyjnymi”, powiedział Balancer.

W chwili publikacji projekt nie ogłosił żadnych dodatkowych aktualizacji dotyczących bounty ani szczegółów exploita.

Magazyn: Solana vs Ethereum ETFs, wpływ Facebooka na Bitwise: Hunter Horsley