Noong Nob. 3, ang Balancer ay naeksploit ng higit sa $116 milyon matapos gamitin ng mga umaatake ang kahinaan sa smart contract upang manipulahin ang mga tawag ng vault sa panahon ng pag-init ng pool.
Nagkaroon ng Malaking Eksployt ang Balancer: Mahigit $116 Milyon ang Nakuha Mula sa V2 Pools
ISINULAT NI
IBAHAGI
Kumpirmasyon ng Insidente mula sa Balancer
Ang decentralized finance (DeFi) platform na Balancer ay nakaranas ng malaking exploit, nagresulta sa pagnanakaw ng higit sa $116 milyon sa digital assets. Ang paunang pagsisiyasat ay nagpakita na ang mga umaatake ay ginamit ang isang kahinaan sa interaksyon ng smart contract, na partikular na tinatarget ang mga vaults at liquidity pools ng Balancer. Ang depekto ay nagbigay-daan sa pag-deploy ng isang mapaminsalang kontrata na nagmanipula sa mga tawag ng vault sa panahon ng inisyal na pagina ng pool.
Ilang oras matapos ang unang ulat ng pagnanakaw, kinumpirma ng Balancer ang insidente, na nagsasaad na ang kanilang v2 pools ay naapektuhan. Sa isang post sa X, sinabi ng platform na ang kanilang engineering at security teams ay masinsinang nagsisiayasat sa usapin at magbibigay ng mga update habang dumadami ang impormasyon. Hindi ibinunyag ng post ang eksaktong halaga ng nawalang mga assets.
Ayon sa isang gumagamit ng social media na kilala bilang Adi, nadiskubre ng mga imbestigador na ang exploit ay purely base sa smart contract at hindi kasama ang kompromiso ng pribadong key.
“Ang hindi tamang awtorisasyon at callback handling ay nagbigay-daan sa umaatake na lampasan ang mga proteksyon, pinapayagan ang hindi awtorisadong swaps at balanseng manipulasyon sa pagitan ng magkakaugnay na mga pool, na nagdulot ng pagkaubos ng mga assets sa loob ng ilang minuto,” paliwanag ni Adi sa X.
Ang nakaw na pondo—na pangunahing binubuo ng Ethereum-based assets—ay ipinasok sa isang bagong wallet na kontrolado ng mga umaatake at kalaunan ay pinagsama-sama, isang hakbang na iminumungkahi ni Adi na maaaring magpahiwatig ng mga plano para ipalusot ang mga assets sa pamamagitan ng mixers o cross-chain bridges.
Sa isang kasunod na post, iniisip ni Adi na ang mga umaatake ay maaaring naglagay ng console logs on-chain o gumamit ng mga teknik tulad ng “vibe coding” o malalaking language models (LLMs) upang maisagawa ang exploit.
Hinikayat din ni Adi ang mga gumagamit na gumawa ng mga hakbang na pang-iingat, kasama ang pag-withdraw ng mga pondo mula sa Balancer v2 pools o iwasan ang mga naapektuhang pool nang buo. Pinayuhan pa ang mga gumagamit na i-revoke ang mga permiso ng smart contract na nauugnay sa mga Balancer address.
FAQ 🧠
- Ano ang nangyari sa Balancer? Ang DeFi platform ay naeksploit ng higit sa $116 milyon dahil sa isang kahinaan sa smart contract.
- Aling mga pool ang naapektuhan? Kinumpirma ng Balancer na naapektuhan ang kanilang v2 liquidity pools.
- Ito ba ay isang private key hack? Hindi, ayon sa mga imbestigador ang pag-atake ay purely base sa smart contract na walang kompromiso ng key.
- Ano ang dapat gawin ng mga gumagamit ngayon? Pinaalalahanan ang mga gumagamit na i-withdraw ang mga pondo mula sa naapektuhang pool at i-revoke ang mga permiso ng Balancer smart contract.
