DeFi снова потрясён! С Balancer украдено более 116 миллионов долларов, убытки продолжают расти!

В 15:48 по восточноазиатскому времени 3 ноября платформа мониторинга данных в блокчейне внезапно обнаружила: на казначейском адресе старейшего DeFi протокола Balancer произошла аномально крупная транзакция.

По данным Etherscan, мультисетевые активы, включая 6 587 WETH (примерно 24,5 миллионов долларов), 6 851 osETH (примерно 26,9 миллионов долларов) и 4 260 wstETH (примерно 19,3 миллионов долларов), были переведены на внешний кошелек.

Многие аналитики в блокчейне считают, что это, вероятно, эксплуатация уязвимости или несанкционированный вывод средств, а не обычная миграция ликвидности. Несколько поставщиков аналитики блокчейна, включая Nansen, уже пометили эти транзакции как подозрительные.

По данным мониторинга компании по безопасности блокчейна PeckShield, атака продолжается в сетях Ethereum и других мультисетевых сетях.

По состоянию на 16:48 по восточноазиатскому времени, адрес злоумышленника (0x54B5…30d) совершил еще одну транзакцию, вызвав функцию 0x8a4f75d6, и Lookonchain подтвердил, что общий ущерб уже превысил 116 миллионов долларов.

Соучредитель Trading Strategy Микко Охтаама отметил, что предварительный анализ указывает на дефект механизма проверки в смарт-контракте как на источник уязвимости. Хотя не все версии Balancer затронуты, если в старых форках V2 присутствует та же уязвимость, общий ущерб может еще увеличиться.

Безопасность DeFi по-прежнему остается проблемой

Это не первый случай, когда Balancer сталкивается с проблемами безопасности.

• Еще в 2020 году протокол понес убытки примерно в 500 тысяч долларов из-за того, что не учел особое поведение токенов с комиссией за перевод, что позволило злоумышленникам с помощью flash loan манипулировать активами пула.

• В августе 2023 года в Boosted Pool Balancer V2 была обнаружена уязвимость, и несмотря на официальное предупреждение, произошла атака с потерей средств примерно на 1 миллион долларов.

• В сентябре того же года домен фронтенда Balancer подвергся DNS-атакам, и пользователи потеряли почти 240 тысяч долларов, подписав транзакции на фишинговом сайте.

Теперь новая волна атак вновь выводит проблему безопасности DeFi на первый план. От проектирования смарт-контрактов до развертывания фронтенда, от логики пулов ликвидности до управления мультисетевыми активами — Balancer сталкивается с непрекращающимися вызовами в области безопасности.

Кроме того, Balancer — это протокол, являющийся хабом ликвидности, и его проблемы затрагивают не только его самого. Пострадавшие LP, агрегаторы, пулы активов, стратегические хранилища — все они оказываются вовлечены.

В мире DeFi ценится “отсутствие необходимости доверия”, но после каждой новой эксплуатации уязвимости возникает вопрос: чему действительно могут доверять пользователи? За пять лет развития DeFi перестал быть игрой для узкого круга гиков и превратился в финансовую инфраструктуру, управляющую миллиардами долларов. К сожалению, даже такие ведущие протоколы, как Balancer, по-прежнему сталкиваются с новыми и старыми проблемами.

Balancer ответил через два часа

В 17:50 по восточноазиатскому времени, то есть через два часа после инцидента, Balancer обновил свой официальный Twitter: обнаружена уязвимость, которая может затронуть пулы Balancer v2. Наши инженерные и команды безопасности придают расследованию высший приоритет, и как только появится больше информации, мы немедленно поделимся подтвержденными обновлениями и дальнейшими шагами.

Bitpush продолжает следить за развитием событий, мы оперативно сообщим о новых подробностях — следите за обновлениями.