Балансер подвергся эксплуатации, так как $128M был перемещен из хранилищ.

Децентрализованные финансы (DeFi) Протокол Balancer потерял $128 миллион после того, как подвергся злоумышленному взлому. Данные на блокчейне показывают, что более $128 миллион активов было выведено из хранилищ протокола.

С украденных средств включены osETH, WETH и wstETH, при этом злоумышленник консолидирует украденные активы, что вызывает опасения по поводу отмывания.

Балансер пострадал от эксплуатации

Balancer, известный децентрализованный финансовый (DeFi) протокол, подвергся крупной атаке, и данные в цепочке показывают, что более $128 миллиона активов были перемещены в новый кошелек. Согласно данным блокчейна, украденные средства включают 6,850 osETH, 6,590 WETH и 4,260 wstETH, при этом хак затронул хранилища на Balancer v2. Хранилища v2 Протокола действуют как его центральный ликвидный механизм, агрегируя токены и облегчая торговлю между ликвидными пулами. Команда Balancer признала хак в X, заявив,

«Мы осведомлены о потенциальной уязвимости, влияющей на пулы Balancer v2. Наши инженерные и Sicherheits команды расследуют это с высоким приоритетом. Мы поделимся проверенной информацией и следующими шагами, как только у нас будет больше информации.»

Сейфы на Sonic, Polygon и Base также были затронуты

Микко Охтамаа, соучредитель и генеральный директор Trading Strategy, отметил, что предварительный анализ атаки указывает на неисправный смарт-контракт как на основную причину атаки. Он добавил, что хотя не все версии Balancer были затронуты, убытки могут быть выше, если старые версии v2 имеют ту же уязвимость, которую использовал злоумышленник. Безопасная компания PeckShield заявила, что атака все еще продолжается на нескольких цепочках, на которых развернут Balancer.

Как развивалась атака

Согласно информации от компании безопасности Decurity, атака произошла из-за неисправного контроля доступа в функции “manageUserBalance” Balancer. Уязвимость заключалась в ValidateUserBalanceOp, который проверяет msg.sender по сравнению с указанным пользователем op.sender, что является логическим недостатком, позволяющим несанкционированные снятия через операцию UserBalanceOpKind.WITHDRAW_INTERNAL.

Проще говоря, уязвимость позволила злоумышленникам инициировать внутренние выводы баланса из смарт-контрактов Balancer без необходимых разрешений.

“manageUserBalance в Balancer имеет ошибочную проверку доступа. В _validateUserBalanceOp он проверяет msg.sender против user-supplied op.sender. Это позволяет выполнить UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1).”

Эксперты по безопасности блокчейна подчеркнули, что адрес злоумышленника уже начал консолидировать активы, вызывая опасения, что он готовит отмывание средств через децентрализованные миксеры.

Третья эксплуатация

Balancer — это децентрализованная платформа, построенная на Ethereum, которая позволяет пользователям торговать токенами и предоставлять ликвидность, используя свои самобалансирующиеся пулы. Протокол активно работает с 2020 года и удерживает более $350 миллионов в TVL только на Ethereum. Последний инцидент стал третьим известным нарушением безопасности для Balancer. Платформа ранее подвергалась атакам в 2021 и 2023 годах, потеряв миллионы. Эксперты по блокчейну заявили, что хранилище является основным смарт-контрактом Balancer, хранящим токены из каждого пула Balancer.

Дизайн был представлен в Balancer v2 и отделяет учет токенов от логики пула, делая пулы меньше, проще и безопаснее для создания. Этот подход позволил любому подключить новый дизайн пула без создания нового DEX.

Отказ от ответственности: Эта статья предоставлена только для информационных целей. Она не предлагается и не предназначена для использования в качестве юридической, налоговой, инвестиционной, финансовой или другой консультации.