3 листопада Балансер піддався експлуатації на суму понад 116 мільйонів доларів після того, як зловмисники скористалися вразливістю смарт-контракту для маніпуляцій з викликами сховища під час ініціалізації пулу.
Balancer зазнав масштабного злому: понад $116 мільйонів виведено з V2 пулів.
АВТОР
ПОДІЛИТИСЯ
Балансер підтверджує інцидент
Децентралізована фінансова (DeFi) платформа Balancer зазнала значного експлойту, в результаті чого викрадено понад 116 мільйонів доларів в цифрових активах. Попередні розслідування показали, що зловмисники використали вразливість у взаємодії зі смарт-контрактами, спеціально націлившись на сховища та пулі ліквідності Balancer. Помилка дозволила розгорнути шкідливий контракт, що маніпулював викликами сховища під час ініціалізації пулу.
Через кілька годин після першого повідомлення про порушення Balancer підтвердив інцидент, заявивши, що це вплинуло на його v2 пулі. У пості на X платформа повідомила, що її інженери та команди безпеки з високим пріоритетом розслідують цю справу й надаватимуть оновлення, коли стане доступна додаткова інформація. У пості не було розкрито точну вартість втрачених активів.
Згідно з користувачем соціальних мереж на ім’я Аді, слідчі встановили, що експлойт був виключно на основі смарт-контракту і не включав компрометацію приватного ключа.
“Неправильна авторизація і обробка зворотних викликів дозволили зловмиснику обійти засоби захисту, дозволивши несанкціоновані зміни та маніпуляції балансами через пов’язані пулі, спустошуючи активи за кілька хвилин”, — пояснив Аді на X.
Вкрадені кошти, в основному активи на базі Ethereum, були перенаправлені в новий гаманець, контрольований зловмисниками, і пізніше консолідовані — хід, який, за словами Аді, може свідчити про наміри відмивання активів через міксери або мостики між різними ланцюгами.
У подальшому пості Аді висловив припущення, що зловмисники могли вбудувати журнали консолі на ланцюг або використовувати такі техніки, як “вибуховий код” або великі мовні моделі (LLMs) для виконання експлойту.
Аді також закликав користувачів вжити запобіжних заходів, включаючи зняття коштів з v2 пулів Balancer або повне уникнення залучених пулів. Користувачам було також рекомендовано відмінити дозволи смарт-контрактів, що пов’язані з адресами Balancer.
FAQ 🧠
- Що сталося з Balancer? DeFi платформа зазнала експлуатації на суму понад 116 мільйонів доларів через вразливість смарт-контракту.
- Які пулі були залучені? Балансер підтвердив, що порушення вплинуло на його v2 пулі ліквідності.
- Чи була це атака через приватний ключ? Ні, слідчі стверджують, що атака була виключно на основі смарт-контракту без компрометації ключів.
- Що зараз повинні робити користувачі? Користувачів закликають вилучити кошти із залучених пулів та відмінити дозволи смарт-контрактів Balancer.
