Market Maker Balancer comprometido: Factos-chave por trás do hack de 128 milhões de dólares

O protocolo de finanças descentralizadas (DeFi) e market maker Balancer sofreu recentemente uma exploração significativa, resultando na perda de mais de $120 milhões em ativos digitais.

De acordo com empresas de segurança blockchain, as perdas totais agora atingiram aproximadamente $128 milhões, com saques em curso da carteira do atacante ainda sendo relatados.

Detalhes Do Ataque Ao Balancer

Em uma publicação na plataforma de mídia social X (anteriormente Twitter), o Balancer reconheceu a exploração, afirmando que suas equipes de engenharia e segurança estavam investigando a violação com alta prioridade. Eles acrescentaram:

O Diretor Executivo da empresa, Deddy Lavid, explicou que a drenagem contínua de fundos provavelmente resulta de mecanismos de controle de acesso comprometidos dentro do protocolo, que permitiram aos atacantes manipular saldos diretamente.

O especialista de mercado Adi Flips forneceu mais informações sobre a exploração, detalhando como o ataque visou os cofres V2 do Balancer e pools de liquidez explorando vulnerabilidades nas interações de contratos inteligentes. 

Investigações preliminares indicam que a exploração envolveu um contrato maliciosamente implantado que manipulou chamadas de cofre durante a inicialização de pools. Esta manipulação foi possível devido à autorização inadequada e ao tratamento de callback, o que permitiu ao atacante contornar as salvaguardas existentes. 

Como resultado, trocas não autorizadas e manipulações de saldo ocorreram em pools interconectados, permitindo a drenagem rápida de ativos em minutos.

O ataque foi iniciado com uma transação crucial na mainnet Ethereum (ETH), que direcionou ativos para uma nova carteira controlada pelo perpetrador. Após isso, os fundos roubados foram consolidados, provavelmente para lavagem através de mixers ou bridges.

Detalhamento Dos Ativos Roubados

O design do protocolo Balancer, que permite forte interação entre seus pools, exacerbou o impacto da exploração, de acordo com a análise de Adi Flips. 

Ele afirmou que vulnerabilidades semelhantes foram observadas em market makers automatizados (AMMs) no passado, frequentemente ligadas à forma como lidam com tokens deflacionários ou gerenciam o reequilíbrio de pools.

Importante, atualmente não há evidências sugerindo que uma chave privada foi comprometida. O especialista observou que este incidente parece ser uma exploração pura de contrato inteligente.

O detalhamento dos ativos roubados inclui mais de $70 milhões em Ethereum, com perdas adicionais de cerca de $7 milhões do Base e Sonic combinados, e aproximadamente $2 milhões de outras chains. 

De acordo com investigações em curso, o roubo total estimado dos principais ativos, incluindo Ethereum wrapped (WETH), Ethereum staked (wstETH), osETH, frxETH, rsETH e rETH, está entre $116 milhões e $128 milhões.

Imagem em destaque do DALL-E, gráfico do TradingView.com