Balancer-Codeproblem verursacht Verluste von über 100 Millionen und trifft die DeFi-Branche nahezu vernichtend.

Originaltitel: „Traditionelles DeFi fällt: Balancer V2 Vertragslücke, über 1.1 Milliarden US-Dollar an Vermögenswerten gestohlen“

Originalautor: Wenser, Odaily

Hinweis von Rhythm: Heute wurde das DeFi-Protokoll Balancer Opfer eines Hackerangriffs, wobei das gestohlene Kapital inzwischen 1,16 Milliarden US-Dollar überschritten hat. Mehrere Projekte haben Selbstschutzmaßnahmen ergriffen: Lido hat seine nicht betroffenen Balancer-Positionen abgezogen; Berachain hat das Netzwerk direkt pausiert, um einen Notfall-Hardfork zur Behebung der BEX-bezogenen Schwachstelle in Balancer V2 durchzuführen.

Außerdem äußerte sich Hasu, Strategy Director bei Flashbots und strategischer Berater von Lido: „Balancer v2 wurde 2021 gestartet und ist seither einer der am meisten beachteten und häufig geforkten Smart Contracts. Das ist äußerst besorgniserregend. Jedes Mal, wenn ein so lange laufender Vertrag angegriffen wird, wirft das die DeFi-Adoption um 6 bis 12 Monate zurück.“ Nachfolgend der Originalinhalt:

Am 3. November wurde beim traditionellen DeFi-Protokoll Balancer ein Diebstahl von über 70 Millionen US-Dollar bekannt. Die Meldung wurde von mehreren Seiten bestätigt und das gestohlene Kapital stieg weiter an. Zum Zeitpunkt der Erstellung dieses Artikels beläuft sich der gestohlene Betrag bei Balancer bereits auf über 1,16 Milliarden US-Dollar. Odaily gibt in diesem Artikel eine kurze Analyse des Vorfalls.

Details zum Balancer-Diebstahl: Verlust von über 1,16 Milliarden US-Dollar, Hauptursache ist eine Schwachstelle im v2-Pool-Smart-Contract

Laut On-Chain-Informationen hat der Angreifer von Balancer bereits mehr als 1,16 Milliarden US-Dollar gestohlen. Zu den wichtigsten gestohlenen Vermögenswerten gehören WETH, wstETH, osETH, frxETH, rsETH, rETH, verteilt auf mehrere Chains wie ETH, Base, Sonic und andere. Im Einzelnen:

· Gestohlene Vermögenswerte auf der Ethereum-Chain: etwa 1 Milliarde US-Dollar;

· Gestohlene Vermögenswerte auf der Arbitrum-Chain: etwa 8 Millionen US-Dollar;

· Gestohlene Vermögenswerte auf der Base-Chain: etwa 3,95 Millionen US-Dollar;

· Gestohlene Vermögenswerte auf der Sonic-Chain: über 3,4 Millionen US-Dollar;

· Gestohlene Vermögenswerte auf der Optimism-Chain: etwa 1,57 Millionen US-Dollar;

· Gestohlene Vermögenswerte auf der Polygon-Chain: etwa 230.000 US-Dollar.

Krypto-KOL Adi schrieb, dass erste Untersuchungen zeigen, dass sich der Angriff hauptsächlich gegen die V2-Vaults und Liquiditätspools von Balancer richtete und eine Schwachstelle in der Interaktion des Smart Contracts ausnutzte. On-Chain-Ermittler stellten fest, dass ein böswillig bereitgestellter Vertrag während der Initialisierung des Liquiditätspools die Vault-Aufrufe manipulierte. Fehlerhafte Autorisierung und Callback-Verarbeitung ermöglichten es dem Angreifer, Schutzmechanismen zu umgehen, was unbefugte Swaps oder Bilanzmanipulationen zwischen den verbundenen Liquiditätspools erlaubte und so innerhalb weniger Minuten einen schnellen Diebstahl ermöglichte.

Nach den bisherigen Informationen gab es keinen Private-Key-Leak, sondern es handelt sich um eine reine Smart-Contract-Schwachstelle.

Der Auditor von kebabsec und citrea-Entwickler @okkothejawa schrieb ebenfalls: „(Der von @moo9000 erwähnte Prüfungsfehler) ist möglicherweise nicht die Hauptursache, da bei allen 'manageUserBalance'-Aufrufen ops.sender == msg.sender ist. Die Sicherheitslücke könnte in einer Transaktion vor der Erstellung des Vertrags zum Abziehen von Vermögenswerten aufgetreten sein, da sie zu einer Statusänderung im Balancer-Vault führte.“

Auch Balancer selbst äußerte sich: „Das offizielle Team ist sich einer potenziellen Schwachstelle in den Balancer v2-Pools bewusst. Unsere Engineering- und Sicherheitsteams untersuchen dies mit höchster Priorität. Sobald wir weitere Informationen haben, werden wir umgehend verifizierte Updates und nächste Schritte mitteilen.“

Auch Berachain, das einem potenziellen Risiko von Vermögensschäden ausgesetzt ist, reagierte umgehend. Nach einer Mitteilung der Berachain Foundation erklärte der Berachain-Gründer Smokey The Bera: „Die Bera-Node-Gruppe hat den Betrieb der Public Chain proaktiv pausiert, um die Auswirkungen der Balancer-Schwachstelle auf BEX (hauptsächlich den USDe-3-Pool) zu verhindern.

· Das Ethena-Team wurde angewiesen, die Bera-Bridge zu deaktivieren

· Die Kreditmärkte haben Einzahlungen von USDe deaktiviert/pausiert

· Das Minten und Einlösen von HONEY-Token wurde pausiert

· Kommunikation mit CEXs und anderen, um sicherzustellen, dass die Hackeradressen auf die Blacklist gesetzt werden

Unser Ziel ist es, die Gelder so schnell wie möglich zurückzuholen und die Sicherheit aller LPs zu gewährleisten. Das Berachain-Team wird, sobald es bereit ist, Binärdateien an die relevanten Node-Validatoren und Dienstanbieter herausgeben (da dieser Pool Nicht-Native-Assets enthält, sind einige Slot-Umstrukturierungen usw. erforderlich, nicht nur eine Änderung des Bera-Token-Saldos).“

Nach dem Balancer-Diebstahl: Die größten Sorgen haben die Krypto-Wale

Als traditionelles DeFi-Protokoll sind die Nutzer von Balancer zweifellos die direktesten Betroffenen dieses Diebstahls. Für die aktuellen Nutzer gibt es folgende Handlungsmöglichkeiten:

· Gelder aus den Balancer v2-Pools abziehen, um weitere Verluste zu vermeiden;

· Autorisierungen widerrufen: Mit Revoke, DeBank oder Etherscan die Smart-Contract-Berechtigungen der Balancer-Adressen widerrufen, um potenzielle Sicherheitsrisiken zu vermeiden;

· Aufmerksam bleiben: Die nächsten Schritte des Balancer-Angreifers genau beobachten und prüfen, ob andere DeFi-Protokolle in Kettenreaktionen betroffen sein könnten.

Darüber hinaus hat in diesem Diebstahl ein seit 3 Jahren inaktiver Krypto-Wal die Aufmerksamkeit des Marktes auf sich gezogen.

Laut LookonChain-Überwachung ist ein Krypto-Wal 0x0090, der 3 Jahre lang inaktiv war, nach dem Balancer-Plattform-Bug gerade wieder aktiv geworden und hat eilig versucht, seine Vermögenswerte im Wert von 6,5 Millionen US-Dollar aus Balancer abzuziehen.

Weitere Entwicklungen: Der Hacker beginnt mit Token-Swaps

Laut On-Chain-Analyst Yu Jin hat der Hacker des Balancer-Diebstahls bereits begonnen, verschiedene Liquid Staking Token (LST) gegen ETH zu tauschen. Zuvor hatte er 10 osETH gegen 10,55 ETH getauscht.

On-Chain-Informationen zeigen, dass der Hacker über das Cow Protocol kontinuierlich gestohlene Vermögenswerte von mehreren Chains in ETH, USDC und andere Assets tauscht. Derzeit sind die Chancen, diese gestohlenen Vermögenswerte zurückzuerlangen, eher gering.

Ob Balancer in der Folge den Protokoll-Smart-Contract-Fehler rechtzeitig finden und die gestohlenen Vermögenswerte zurückholen oder entsprechende Lösungen anbieten kann, wird Odaily weiterhin verfolgen.

Original-Link