Balancer подвергся эксплуатации, так как из хранилищ было выведено 128M $

Протокол децентрализованных финансов (DeFi) Balancer потерял 128 миллионов долларов после вредоносной эксплуатации. Данные на цепочке показывают, что из хранилищ протокола было выведено более 128 миллионов долларов в активах. 

Украденные средства включают osETH, WETH и wstETH, при этом эксплуататор консолидирует украденные активы, что вызывает опасения по поводу отмывания денег. 

Balancer подвергся эксплуатации 

Balancer, известный протокол децентрализованных финансов (DeFi), подвергся серьезной эксплуатации, и данные на цепочке показывают, что более 128 миллионов долларов в активах были перемещены на новый кошелек. Согласно данным блокчейна, украденные средства включают 6 850 osETH, 6 590 WETH и 4 260 wstETH, при этом взлом затронул хранилища Balancer v2. Хранилища протокола v2 действуют как его центральный механизм ликвидности, агрегируя токены и облегчая торговлю между пулами ликвидности. Команда Balancer признала взлом на X, заявив, 

Хранилища в Sonic, Polygon и Base также пострадали. 

Микко Охтамаа, соучредитель и генеральный директор Trading Strategy, отметил, что предварительный анализ атаки указывает на неисправный смарт контракт как на основную причину атаки. Он добавил, что хотя не все версии Balancer пострадали, потери могут быть выше, если старые форки v2 имеют ту же уязвимость, которую использовал атакующий. Компания по безопасности PeckShield заявила, что атака все еще продолжается на нескольких цепочках, на которых развернут Balancer. 

Как развивалась атака 

По данным компании по безопасности Decurity, атака произошла из-за неисправного контроля доступа в функции Balancer "manageUserBalance". Уязвимость была в ValidateUserBalanceOp, которая проверяет msg.sender по отношению к предоставленному пользователем op.sender, логическая ошибка, которая позволяет несанкционированные выводы через операцию UserBalanceOpKind.WITHDRAW_INTERNAL. 

Проще говоря, уязвимость позволила атакующим запускать внутренние выводы баланса из смарт-контрактов Balancer без необходимых разрешений. 

Эксперты по безопасности на цепочке подчеркнули, что адрес атакующего уже начал консолидировать активы, что вызывает опасения, что они готовятся отмывать средства через децентрализованные миксеры. 

Третья эксплуатация 

Balancer - это децентрализованная платформа, построенная на Ethereum, которая позволяет пользователям торговать токенами и обеспечивать ликвидность, используя свои самобалансирующиеся пулы. Протокол активен с 2020 года и содержит более 350 миллионов долларов в TVL только на Ethereum. Последний инцидент является третьим известным нарушением безопасности для Balancer. Платформа ранее подвергалась эксплуатации в 2021 и 2023 годах, потеряв миллионы. Эксперты на цепочке заявили, что хранилище является основным смарт-контрактом Balancer, содержащим токены из каждого пула Balancer. 

Дизайн был представлен в Balancer v2 и отделяет учет токенов от логики пула, делая пулы меньше, проще и безопаснее для создания. Этот подход позволил любому подключить новый дизайн пула без создания новой DEX.

Отказ от ответственности: Эта статья предоставляется только в информационных целях. Она не предлагается и не предназначена для использования в качестве юридической, налоговой, инвестиционной, финансовой или другой консультации.