La historia de los ataques de hackers al antiguo protocolo de Finanzas descentralizadas Balancer: 6 incidentes de seguridad en 5 años, con pérdidas totales de más de cien millones de dólares.

El veterano protocolo DeFi Balancer ha sufrido 6 incidentes de seguridad importantes en los últimos 5 años, y el último ataque ha perdido más de 100 millones de dólares, lo que revela los riesgos técnicos detrás de la complejidad de DeFi. (Sinopsis: Balancer hackeó USD 116 millones" la respuesta oficial ha sido investigada, consultor de Lido: llevará a la adopción de DeFi retrasada 1 año) (Antecedentes agregados: ¡El antiguo protocolo DeFi Balancer ha sido hackeado!) El daño ha superado los USD 116 millones, pero el ataque continúa) Para los espectadores, DeFi es un novedoso experimento social; Para los participantes, el robo de DeFi es una lección costosa. La fuga de la casa coincidió con la lluvia de la noche, y el hacker eligió específicamente el otoño. En la reciente recesión de todo el mercado de las criptomonedas, el antiguo protocolo DeFi se ha visto muy afectado. El 3 de noviembre, los datos on-chain mostraron que se sospechaba que el protocolo Balancer había sido hackeado. Se transfirieron aproximadamente USD 70.9 millones de activos a la nueva billetera, incluidos 6,850 osETH, 6,590 WETH y 4,260 wstETH. Posteriormente, según el monitoreo de Lookonchain de las direcciones de billetera en cuestión, la cantidad total de daños por el ataque al protocolo ha aumentado a USD 116.6 millones. El equipo de Balancer dijo después del incidente: “Se ha identificado un ataque de vulnerabilidad que podría afectar al grupo Balancer v2, y sus equipos de ingeniería y seguridad están investigando este incidente con alta prioridad y compartirán actualizaciones verificadas y los próximos pasos a medida que haya más información disponible”. Además, los funcionarios también han expresado públicamente su disposición a pagar el 20% de los activos robados como recompensa de sombrero blanco para recuperar activos, que es válida durante 48 horas. La respuesta no se hizo esperar, pero también oficial. Sin embargo, si eres un veterano de DeFi, no te sorprenderá el título “Balancer hackeado”, pero hay una extraña sensación de déjà vu. Como veterano protocolo DeFi fundado en 2020, Balancer ha tenido incluso 6 incidentes de seguridad en los últimos 5 años, con un promedio de un espectáculo reservado patrocinado por piratas informáticos cada año, y esta vez es solo la mayor cantidad de dinero robado. Mirando hacia atrás en la historia, cuando la situación del mercado hace que el trading sea difícil que se convierta en un infierno, es muy probable que haya arbitraje de intereses en DeFi y no sea seguro. Junio de 2020: Vulnerabilidad del token deflacionario, pérdida de aproximadamente USD 520,000 En marzo de 2020, Balancer entró en el mundo DeFi con la innovadora idea de un “creador de mercado automatizado flexible”. Sin embargo, solo tres meses después, el ambicioso acuerdo tuvo su primera pesadilla. Los atacantes explotaron el mal manejo del protocolo de los tokens deflacionarios, causando pérdidas de alrededor de USD 520,000. El principio general es que en ese momento, un token llamado STA quemaba automáticamente un 1% como tarifa por cada transferencia. Los atacantes prestaron 104,000 ETH de un préstamo flash dYdX y luego negociaron de un lado a otro entre STA y ETH 24 veces. Dado que Balancer no calculó correctamente el saldo real después de cada transferencia, el STA en el grupo finalmente se agotó a solo 1 wei. Luego, los atacantes explotaron el grave desequilibrio de precios e intercambiaron una gran cantidad de ETH, WBTC, LINK y SNX con trazas de STA. Marzo de 2023: Incidente con la pistola mentirosa de Euler, pérdida de aproximadamente 11,9 millones de dólares Esta vez Balancer fue una víctima indirecta. Euler Finance sufrió un ataque de préstamo flash de USD 197 millones, y el pool bb-e-USD de Balancer se vio implicado por tener el eToken de Euler. Cuando Euler fue atacado, se transfirieron alrededor de USD 11.9 millones del pool bb-e-USD de Balancer a Euler, o el 65% del TVL del pool. Aunque Balancer suspendió urgentemente la piscina en cuestión, el daño ya está hecho de forma irreparable. Agosto de 2023: Vulnerabilidad de precisión del grupo Balancer V2, aproximadamente USD 2.1 millones en pérdidas Este ataque en realidad fue presagiado. El 22 de agosto de ese año, Balancer reveló voluntariamente la vulnerabilidad y advirtió a los usuarios que desinvirtieran, pero el ataque aún ocurrió 5 días después. La vulnerabilidad implica un error de redondeo en el grupo potenciado V2. A través de una manipulación precisa, el atacante sesga el cálculo de la oferta de BPT (Balancer Pool Token), con el fin de retirar los activos del grupo a un tipo de cambio incorrecto. El ataque se completó a través de múltiples transacciones de préstamos flash, con estimaciones de pérdidas que oscilaron entre USD 979,000 y USD 2.1 millones por parte de diferentes firmas de seguridad. Septiembre de 2023: Ataque de secuestro de DNS con aproximadamente USD 240,000 en daños Se trata de un ataque de ingeniería social que no se dirige a los contratos inteligentes, sino a la infraestructura de red tradicional. Los piratas informáticos utilizaron la ingeniería social para violar el registrador de dominios EuroDNS y secuestrar balancer.fi nombres de dominio. Los usuarios son redirigidos a un sitio web de phishing que utiliza un contrato malicioso de Angel Drainer para engañar a los usuarios para que autoricen transferencias. Luego, los atacantes lavaron el dinero robado a través de Tornado Cash. Aunque este asunto en sí no es la olla de Balancer, también es difícil evitar que las personas usen la marca del protocolo para pescar. Junio de 2024: Velocore hackeado, perdiendo unos 6,8 millones de dólares Aunque Velocore es un proyecto independiente, su robo no tiene nada que ver con Balancer. Pero como bifurcación de Balancer, Velocore utiliza el mismo diseño de grupo CPMM (Constant Product Market Maker), que es algo en la misma línea, más como robar en otro lugar, pero el mecanismo está en Balancer. Esta vez, presumiblemente, el atacante aprovechó una vulnerabilidad de desbordamiento en el contrato de pool CPMM estilo Balancer de Velocore para manipular el multiplicador de tarifas (feeMultiplier) para que superara el 100%, lo que resultó en errores de cálculo. Los atacantes finalmente robaron alrededor de USD 6.8 millones a través de préstamos flash combinados con retiros elaborados. Noviembre de 2025: Último ataque, más de 100 millones de pérdidas El principio técnico de este ataque se ha aclarado preliminarmente. Según el análisis de los investigadores de seguridad, la vulnerabilidad se encuentra en la verificación de control de acceso de la función manageUserBalance en el protocolo Balancer V2, que también corresponde a la verificación de permisos de usuario. Según el análisis realizado por los vigilantes de seguridad Defimon Alerts y Decurity, se suponía que el sistema debía comprobar si la persona que llamaba era el verdadero propietario de la cuenta al verificar los permisos de retirada de Balancer V2, pero el código comprobaba incorrectamente si msg.sender (la persona que llamaba realmente) era igual al parámetro op.sender proporcionado por el propio usuario. Dado que op.sender es un parámetro de entrada controlable por el usuario, los atacantes pueden falsificar identidades a voluntad, eludir la verificación de permisos y realizar WITHDRAW_INTERNAL (retiros internos…