Balancer-Hack führt zu einem Verlust von über 100 Millionen Dollar und versetzt der DeFi-Branche einen verheerenden Schlag

Original Article Title: "Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

Original Article Author: Wenser, Odaily Planet Daily

Redaktioneller Hinweis: Heute wurde das DeFi-Protokoll Balancer Opfer eines Hacks, wobei die gestohlenen Gelder nun mehr als 116 Millionen Dollar übersteigen. Mehrere Projekte haben Gegenmaßnahmen ergriffen: Lido hat seine nicht betroffene Balancer-Position abgezogen, während Berachain eine Netzwerkaussetzung angekündigt hat, um einen Notfall-Hard Fork durchzuführen, der die Balancer V2-bezogene Schwachstelle auf dem BEX adressieren soll.

Außerdem äußerte Hasu, Strategic Director von Flashbots und strategischer Berater von Lido, in einem Beitrag: "Balancer v2 ging 2021 live und ist seither einer der am genauesten beobachteten und am häufigsten geforkten Smart Contracts. Das ist sehr besorgniserregend. Jedes Mal, wenn ein so lange laufender Vertrag gehackt wird, wirft das die DeFi-Adoption um 6 bis 12 Monate zurück." Im Folgenden der Originalinhalt:

Am 3. November wurde berichtet, dass beim erfahrenen DeFi-Protokoll Balancer mehr als 70 Millionen Dollar an Vermögenswerten gestohlen wurden. Anschließend wurde diese Nachricht von mehreren Parteien bestätigt, und die Höhe der gestohlenen Gelder stieg weiter an. Zum Zeitpunkt des Schreibens belief sich der bei Balancer gestohlene Betrag auf über 116 Millionen Dollar. Odaily wird diesen Vorfall in diesem Artikel kurz analysieren.

Details zum Balancer-Hack: Verlust übersteigt 116 Millionen Dollar, hauptsächlich durch Fehler im v2 Pool Smart Contract

Laut On-Chain-Informationen hat der Balancer-Angreifer nun mehr als 116 Millionen Dollar an Vermögenswerten gestohlen, wobei die wichtigsten gestohlenen Vermögenswerte WETH, wstETH, osETH, frxETH, rsETH, rETH umfassen, verteilt auf mehrere Chains wie ETH, Base, Sonic usw., wobei:

· Auf der Ethereum-Chain gestohlene Vermögenswerte: etwa 100 Millionen Dollar;

· Auf der Arbitrum-Chain gestohlene Vermögenswerte: fast 8 Millionen Dollar;

· Auf der Base-Chain gestohlene Vermögenswerte: fast 3,95 Millionen Dollar;

· Auf der Sonic-Chain gestohlene Vermögenswerte: über 3,4 Millionen Dollar;

· Auf der Optimism-Chain gestohlene Vermögenswerte: fast 1,57 Millionen Dollar;

· Polygon On-Chain Vermögensdiebstahl: etwa 230.000 Dollar.

Krypto-KOL Adi postete, dass erste Untersuchungen darauf hindeuten, dass der Angriff hauptsächlich auf den Balancer V2 Vault und den Liquiditätspool abzielte, wobei eine Schwachstelle bei den Smart-Contract-Interaktionen ausgenutzt wurde. On-Chain-Ermittler wiesen darauf hin, dass ein böswillig bereitgestellter Vertrag den Vault-Call während der Pool-Initialisierung manipulierte. Fehlerhafte Autorisierung und Callback-Verarbeitung ermöglichten es dem Angreifer, Schutzmaßnahmen zu umgehen, was unbefugte Swaps zwischen verbundenen Liquiditätspools oder Manipulationen des Guthabens ermöglichte und so innerhalb von Minuten zu einem schnellen Diebstahl von Vermögenswerten führte.

Basierend auf den verfügbaren Informationen gibt es keine Hinweise auf eine Offenlegung privater Schlüssel; es handelt sich ausschließlich um eine Schwachstelle im Smart Contract.

Der Auditor der Prüfgesellschaft kebabsec und citrea-Entwickler @okkothejawa erwähnte ebenfalls: "Der von @moo9000 erwähnte Prüfungsfehler ist möglicherweise nicht die Hauptursache, da bei allen 'manageUserBalance'-Aufrufen ops.sender == msg.sender ist. Die Sicherheitslücke könnte in einer Transaktion vor der Erstellung des Vertrags, der Vermögenswerte extrahiert, aufgetreten sein, da sie zu einigen Statusänderungen im Balancer Vault führte."

Die offizielle Antwort von Balancer lautete: "Unser Team ist sich einer potenziellen Schwachstelle bewusst, die Balancer v2 Pools betrifft. Unsere Ingenieur- und Sicherheitsteams führen derzeit eine vorrangige Untersuchung durch. Sobald wir weitere Informationen haben, werden wir umgehend verifizierte Updates und nächste Schritte mitteilen."

Auch Berachain, das potenziellen Risiken eines Vermögensverlusts ausgesetzt ist, reagierte umgehend. Nach einem Beitrag der Berachain Foundation erklärte Berachain-Gründer Smokey The Bera: "Die Bera-Node-Gruppe hat den Betrieb der öffentlichen Chain proaktiv pausiert, um zu verhindern, dass die Balancer-Schwachstelle den BEX betrifft (hauptsächlich den USDe-Dreierpool).

· Anweisung an das Ethena-Team, das Bera-Bridging zu deaktivieren

· Deaktivierung/Aussetzung von USDe-Einzahlungen im Kreditmarkt

· Aussetzung der HONEY-Token-Prägung und des Austauschs

· Kommunikation mit CEXs und Sicherstellung, dass Hacker-Adressen auf die Blacklist gesetzt werden

Unser Ziel ist es, die Gelder so schnell wie möglich wiederherzustellen und die Sicherheit aller LPs zu gewährleisten. Das Berachain-Team wird sofort Binaries an relevante Node-Validatoren und Dienstleister veröffentlichen, sobald sie bereit sind (da dieser Pool nicht-native Vermögenswerte enthält, ist eine gewisse Slot-Neukonfiguration erforderlich, nicht nur die Änderung des Bera-Token-Guthabens)."

Balancer-Hack: Krypto-Wale am nervösesten

Als etabliertes DeFi-Protokoll sind die Nutzer von Balancer zweifellos am direktesten von diesem Hack betroffen. Für aktuelle Nutzer sind folgende Maßnahmen möglich:

· Abzug von Geldern aus Balancer v2 Pools, um weitere Verluste zu verhindern;

· Widerruf der Autorisierung: Verwenden Sie Revoke, DeBank oder Etherscan, um Smart-Contract-Berechtigungen von der Balancer-Adresse zu widerrufen und potenzielle Sicherheitsrisiken zu vermeiden;

· Wachsam bleiben: Beobachten Sie genau die nächsten Schritte des Balancer-Angreifers und ob diese Auswirkungen auf andere DeFi-Protokolle haben könnten.

Darüber hinaus hat ein seit 3 Jahren inaktiver Krypto-Wal bei diesem Hack Aufmerksamkeit erregt.

Laut Überwachung durch LookonChain ist ein 3 Jahre inaktiver Krypto-Wal mit der Adresse 0x009023dA14A3C9f448B75f33cEb9291c21373bD8 nach Auftreten der Balancer-Plattform-Schwachstelle plötzlich wieder aktiv geworden. Der Wal ist bestrebt, seine mit Balancer verbundenen Vermögenswerte im Wert von 6,5 Millionen Dollar abzuheben. On-Chain-Informationen:

Neueste Entwicklung: Hacker startet Token-Tausch-Muster

Laut Überwachung des On-Chain-Analysten Yu Jin hat der Hacker des Balancer-Hacks begonnen, viele Liquiditäts-Staking-Token (LST) gegen ETH zu tauschen. Zuvor tauschte der Hacker 10 osETH gegen 10,55 ETH.

On-Chain-Daten zeigen, dass der Hacker gestohlene Vermögenswerte über mehrere Chains hinweg kontinuierlich gegen ETH, USDC und andere Vermögenswerte über das Cow Protocol tauscht. Derzeit scheint die Hoffnung auf eine Wiedererlangung dieser gestohlenen Vermögenswerte gering.

Ob Balancer in Zukunft die Schwachstelle im Protokollvertrag rechtzeitig identifizieren und die gestohlenen Vermögenswerte schnell wiederherstellen oder eine entsprechende Lösung anbieten kann, wird Odaily weiterhin verfolgen.