Проблема в коді Balancer призвела до втрат понад 100 мільйонів, майже знищивши індустрію DeFi

Оригінальна назва: «Крах старого DeFi: вразливість у контракті Balancer V2, викрадено понад 1.1 мільярда доларів США»

Автор: Wenser, Odaily

Примітка редакції: Сьогодні DeFi-протокол Balancer зазнав хакерської атаки, наразі сума викрадених коштів перевищила 1.16 мільярда доларів США. Декілька проєктів вжили заходів самозахисту: Lido вже вивів свої незачеплені позиції з Balancer; Berachain оголосив про призупинення роботи мережі для термінового хардфорку з метою виправлення вразливості, пов’язаної з Balancer V2 на BEX.

Крім того, стратегічний директор Flashbots і радник Lido Hasu написав: «Balancer v2 був запущений у 2021 році і з того часу став одним із найпомітніших і найчастіше форкованих смарт-контрактів. Це дуже тривожно. Кожного разу, коли контракт, який працює так довго, піддається атаці, це відкидає процес впровадження DeFi на 6–12 місяців назад.» Далі — оригінальний текст:

3 листопада старий DeFi-протокол Balancer зазнав крадіжки активів на понад 70 мільйонів доларів США. Згодом цю інформацію підтвердили з різних джерел, а сума викрадених коштів продовжувала зростати. На момент написання статті сума викрадених активів Balancer вже перевищила 1.16 мільярда доларів США. Odaily коротко аналізує цю подію у цій статті.

Деталі крадіжки Balancer: втрати понад 1.16 мільярда доларів США, основна причина — вразливість смарт-контракту v2 pool

Згідно з інформацією з блокчейну, хакер Balancer наразі викрав кошти на суму понад 1.16 мільярда доларів США, основні викрадені активи включають WETH, wstETH, osETH, frxETH, rsETH, rETH, які розподілені на ланцюгах ETH, Base, Sonic та інших, зокрема:

· Викрадені активи на Ethereum: близько 1 мільярда доларів США;

· Викрадені активи на Arbitrum: близько 8 мільйонів доларів США;

· Викрадені активи на Base: близько 3.95 мільйона доларів США;

· Викрадені активи на Sonic: понад 3.4 мільйона доларів США;

· Викрадені активи на Optimism: близько 1.57 мільйона доларів США;

· Викрадені активи на Polygon: близько 230 тисяч доларів США.

Крипто-KOL Adi повідомив, що попереднє розслідування показало, що атака була спрямована головним чином на сховище Balancer V2 і пули ліквідності, використовуючи вразливість у взаємодії смарт-контрактів. Дослідники блокчейну вказали, що зловмисний контракт був розгорнутий і під час ініціалізації пулу ліквідності маніпулював викликами Vault. Неправильна авторизація та обробка зворотних викликів дозволили атакуючому обійти захист, що дало змогу здійснювати несанкціоновані обміни Swap або маніпуляції балансами між взаємопов’язаними пулами ліквідності, швидко викрадаючи активи за кілька хвилин.

З наявної інформації видно, що витоку приватних ключів не було — це чиста вразливість смарт-контракту.

Аудитор kebabsec, розробник citrea @okkothejawa також написав: «(Помилка перевірки, згадана @moo9000) можливо, не є кореневою причиною, оскільки у всіх викликах ‘manageUserBalance’ ops.sender == msg.sender. Вразливість могла виникнути у транзакції до створення контракту для виведення активів, оскільки це призвело до зміни стану у сховищі Balancer.»

Офіційний представник Balancer також відповів: «Офіційна команда вже знає про потенційну вразливість, що впливає на Balancer v2 pool. Наші інженери та команда безпеки розслідують це з найвищим пріоритетом. Як тільки з’явиться більше інформації, ми негайно поділимося перевіреними оновленнями та подальшими кроками.»

Berachain, який також піддається потенційному ризику втрати активів, оперативно відреагував. Після заяви Berachain Foundation, засновник Berachain Smokey The Bera повідомив: «Група вузлів Bera добровільно призупинила роботу публічного ланцюга, щоб запобігти впливу вразливості Balancer на BEX (переважно USDe трипул).

· Доручити команді Ethena вимкнути міст Bera

· Вимкнути/призупинити депозити USDe на ринку кредитування

· Призупинити карбування та обмін токенів HONEY

· Зв’язатися з CEX тощо, щоб переконатися, що адреси хакерів додані до чорного списку

Наша мета — якнайшвидше повернути кошти та забезпечити безпеку всіх LP. Команда Berachain випустить бінарні файли для відповідних валідаторів вузлів і постачальників послуг, щойно буде готова (оскільки цей пул містить не нативні активи, це також включає деякі реконструкції слотів, а не лише зміну балансу токенів Bera).»

Після крадіжки Balancer найбільше хвилюються крипто-кити

Як старий DeFi-протокол, користувачі Balancer без сумніву є найбільш безпосередньо постраждалими від цієї крадіжки. На даний момент користувачі можуть зробити наступне:

· Вивести кошти з Balancer v2 pool, щоб уникнути подальших втрат;

· Скасувати авторизацію: скористатися Revoke, DeBank або Etherscan для скасування дозволів смарт-контракту Balancer, щоб уникнути потенційних ризиків безпеки;

· Слідкувати за ситуацією: уважно стежити за подальшими діями хакера Balancer і тим, чи може це спричинити ланцюговий ефект для інших DeFi-протоколів.

Крім того, ця крадіжка привернула увагу ринку до одного крипто-кита, який спав 3 роки.

Згідно з моніторингом LookonChain, крипто-кит 0x0090, який не проявляв активності 3 роки, щойно прокинувся після інциденту з вразливістю Balancer і поспішив вивести свої активи на суму 6.5 мільйона доларів США з Balancer.

Подальший розвиток: хакер почав обмін токенів

Згідно з моніторингом аналітика блокчейну Yu Jin, хакер Balancer вже почав намагатися обмінювати численні ліквідні стейкінгові токени (LST) на ETH, раніше він обміняв 10 osETH на 10.55 ETH.

Інформація з блокчейну показує, що хакер постійно використовує Cow Protocol для обміну викрадених активів з різних ланцюгів на ETH, USDC тощо. На даний момент шанси на повернення цих активів виглядають дуже низькими.

У подальшому Odaily продовжить стежити за тим, чи зможе Balancer вчасно знайти вразливість у протоколі, швидко повернути викрадені активи або надати відповідне рішення.

Оригінал