Хак Balancer: вкрадено понад $116 млн, серйозний удар по DeFi

Оригінальна назва статті: "Ветеран DeFi скомпрометований: вразливість смарт контракту Balancer V2, вкрадено понад 110 мільйонів доларів в активах"

Автор: Wenser, Odaily Planet Daily

Примітка редактора: Сьогодні протокол DeFi Balancer став жертвою хакерської атаки, сума вкрадених коштів перевищила 116 мільйонів доларів. Низка проектів вжили заходів: Lido вивела свою незачеплену позицію в Balancer, а Berachain оголосила про зупинку мережі для проведення екстреного хардфорку, щоб усунути вразливість, пов'язану з Balancer V2 у BEX.

Більше того, Hasu, стратегічний директор Flashbots та стратегічний радник Lido, зазначив у своєму пості: "Balancer v2 був запущений у 2021 році і з того часу став одним із найбільш ретельно відстежуваних і часто форканих смарт контрактів. Це дуже тривожно. Кожного разу, коли зламують контракт, який працював так довго, це відкидає розвиток DeFi на 6–12 місяців назад." Нижче представлений оригінальний контент:

3 листопада стало відомо, що у ветерана DeFi-протоколу Balancer було вкрадено активів на суму понад 70 мільйонів доларів. Згодом ця новина була підтверджена кількома сторонами, а розмір вкрадених коштів продовжував зростати. На момент написання статті сума активів, вкрадених у Balancer, збільшилася до понад 116 мільйонів доларів. Odaily Planet Daily коротко проаналізує цей інцидент у цій статті.

Деталі зламу Balancer: збитки перевищують 116 мільйонів доларів, переважно через помилку в смарт контракті пулу v2

Згідно з ончейн-інформацією, хакер Balancer на даний момент вкрав понад 116 мільйонів доларів в активах, включаючи WETH, wstETH, osETH, frxETH, rsETH, rETH, розподілених по кількох мережах, таких як ETH, Base, Sonic та ін., де:

· Активи, вкрадені в мережі Ethereum: близько 100 мільйонів доларів;

· Активи, вкрадені в мережі Arbitrum: майже 8 мільйонів доларів;

· Активи, вкрадені в мережі Base: майже 3,95 мільйона доларів;

· Активи, вкрадені в мережі Sonic: понад 3,4 мільйона доларів;

· Активи, вкрадені в мережі Optimism: майже 1,57 мільйона доларів;

· Крадіжка активів у мережі Polygon: близько 230 000 доларів.

Крипто-KOL Adi повідомив, що початкові розслідування вказують на те, що атака була в основному спрямована на сховище (vault) та пул ліквідності Balancer V2, використовуючи вразливість у взаємодіях смарт контрактів. Ончейн-дослідники зазначили, що шкідливий контракт маніпулював викликом Vault під час ініціалізації пулу. Неправильна авторизація та обробка зворотних викликів дозволили хакеру обійти захисні заходи, що призвело до несанкціонованих обмінів між взаємопов'язаними пулами ліквідності або маніпулювання балансом, що призвело до швидкої крадіжки активів за лічені хвилини.

Ґрунтуючись на доступній інформації, немає жодних доказів компрометації приватних ключів; це суто вразливість смарт контракту.

Аудитор kebabsec та розробник Citrea @okkothejawa також згадали: "Помилка перевірки, згадана @moo9000, може не бути першопричиною, оскільки у всіх викликах 'manageUserBalance' ops.sender == msg.sender. Вразливість безпеки могла виникнути в транзакції до створення контракту, який витягує активи, оскільки це призвело до деяких змін стану у сховищі Balancer."

Офіційна відповідь Balancer свідчила: "Наша команда обізнана про потенційну вразливість, що зачіпає пули Balancer v2. Наші інженерні групи та команди безпеки активно проводять розслідування з високим пріоритетом. Як тільки у нас з'явиться більше інформації, ми негайно поділимося перевіреними оновленнями та подальшими кроками."

Berachain, яка стикається з потенційними ризиками втрати активів, також оперативно відреагувала. Після посту фонду Berachain засновник Berachain Smokey The Bera заявив: "Група вузлів Bera проактивно призупинила роботу публічної мережі, щоб запобігти впливу вразливості Balancer на BEX (переважно на пул USDe).

· Дати вказівку команді Ethena відключити міст Bera

· Відключити/призупинити депозити USDe на кредитному ринку

· Призупинити мінтинг та обмін токенів HONEY

· Зв'язатися з криптобіржами та забезпечити внесення адрес хакерів до чорного списку

Наша мета — якнайшвидше повернути кошти та забезпечити безпеку всіх постачальників ліквідності. Команда Berachain негайно випустить бінарні файли для відповідних валідаторів вузлів та постачальників послуг, як тільки вони будуть готові (оскільки цей пул містить неродні активи, це включає деяку реконфігурацію слотів, а не просто зміну балансу токенів Bera)."

Ончейн-інформація хакера Balancer: https://intel.arkm.com/explorer/entity/cd756cb8-6a84-4f40-9361-f6c548544430

Злам Balancer: крипто кит найбільше нервує

Будучи добре зарекомендованим DeFi-протоколом, користувачі Balancer, безсумнівно, найбільше постраждали від цього зламу. Для поточних користувачів дії, які можна вжити, включають:

· Виведення коштів з пулів Balancer v2 для запобігання подальшим втратам;

· Відкликання авторизації: використовуйте Revoke, DeBank або Etherscan, щоб відкликати дозволи смарт контракту з адреси Balancer, щоб уникнути потенційних ризиків безпеки;

· Будьте пильні: уважно стежте за наступними кроками хакера Balancer і за тим, чи матиме це каскадний вплив на інші DeFi-протоколи.

Крім того, сплячий крипто кит, який був неактивний протягом 3 років, привернув увагу в цьому зламі.

Згідно з моніторингом LookonChain, сплячий протягом 3 років крипто кит з адресою 0x009023dA14A3C9f448B75f33cEb9291c21373bD8 раптово прокинувся після того, як сталася вразливість платформи Balancer. Кит прагне вивести свої пов'язані активи на суму 6,5 мільйонів доларів з Balancer. Ончейн-інформація: https://intel.arkm.com/explorer/address/0x009023dA14A3C9f448B75f33cEb9291c21373bD8

Останні події: хакер ініціює схему обміну токенів

Згідно з моніторингом ончейн-аналітика Yu Jin, хакер зламу Balancer почав спроби обміняти безліч токенів ліквідного стейкінгу (LST) на ETH. Раніше хакер обміняв 10 osETH на 10,55 ETH.

Ончейн-дані показують, що хакер постійно обмінює вкрадені активи в кількох мережах на ETH, USDC та інші активи за допомогою Cow Protocol. На даний момент надія на відновлення цих вкрадених активів здається примарною.

У майбутньому Odaily продовжить стежити за тим, чи зможе Balancer оперативно виявити вразливість контракту протоколу і швидко повернути вкрадені активи або надати відповідне рішення.

Посилання на оригінальну статтю