DeFi знову зазнав краху! З Balancer викрадено понад 116 мільйонів доларів США, збитки продовжують зростати!

Близько 15:48 за східноазіатським часом 3 листопада платформа моніторингу даних on-chain раптово виявила: у скарбничої адреси старого протоколу Balancer DeFi відбулася аномальна велика транзакція.

За даними Etherscan, мульти-ланцюгові активи, включаючи 6 587 WETH (близько 24,5 мільйонів доларів), 6 851 osETH (близько 26,9 мільйонів доларів) та 4 260 wstETH (близько 19,3 мільйонів доларів), були переведені на зовнішній гаманець.

Декілька аналітиків on-chain вважають, що це, ймовірно, експлуатація вразливості або несанкціоноване виведення коштів, а не звичайна міграція ліквідності. Декілька провайдерів блокчейн-аналітики, включаючи Nansen, вже позначили ці транзакції як підозрілі.

За моніторингом блокчейн-безпеки PeckShield, атака триває у мульти-ланцюгових мережах, таких як Ethereum.

Станом на 16:48 за східноазіатським часом, адреса зловмисника (0x54B5…30d) здійснила ще одну транзакцію через виклик функції 0x8a4f75d6, Lookonchain підтвердив, що загальні втрати вже перевищили 116 мільйонів доларів.

Співзасновник Trading Strategy Мікко Охтаамаа зазначив, що попередній аналіз вказує на дефект механізму перевірки смарт-контракту як джерело вразливості. Хоча не всі версії Balancer постраждали, якщо у старих форках V2 є така ж вразливість, загальні втрати можуть ще зрости.

Безпека DeFi залишається проблемою

Це не перший випадок, коли Balancer стикається з проблемами безпеки.

• Ще у 2020 році протокол зазнав збитків у розмірі близько 500 тисяч доларів через те, що не врахував особливу поведінку токенів з "комісією при переказі", що дозволило зловмисникам маніпулювати активами пулу через flash loan.

• У серпні 2023 року у Boosted Pool Balancer V2 була виявлена вразливість, і, незважаючи на офіційне попередження, відбулася атака з втратою коштів близько 1 мільйона доларів.

• У вересні того ж року фронтенд-домен Balancer був підданий DNS-атаці, і користувачі втратили майже 240 тисяч доларів після підписання транзакцій на фішинговому сайті.

Тепер нова хвиля атак знову вивела питання безпеки DeFi на перший план. Від дизайну контракту до розгортання фронтенду, від логіки пулу ліквідності до управління крос-ланцюговими активами — Balancer, здається, досі не вирішив своїх проблем з безпекою.

Крім того, Balancer є протоколом-центром ліквідності, і його проблеми впливають не лише на нього самого. Постраждають LP, агрегатори, пули активів, стратегії Vault тощо, які залежать від нього.

У світі DeFi цінується "відсутність необхідності довіри", але після численних експлуатацій вразливостей, на що користувачі можуть дійсно покластися? За п’ять років розвитку DeFi вже не є грою для вузького кола гіків, а став фінансовою інфраструктурою, що управляє мільярдами доларів. На жаль, навіть такі провідні протоколи, як Balancer, досі не можуть уникнути долі старих і нових проблем.

Balancer відповів через дві години

О 17:50 за східноазіатським часом, тобто через дві години після інциденту, Balancer оновив офіційний Twitter: виявлено потенційну вразливість, що може вплинути на Balancer v2 pool. Наша інженерна та безпекова команда проводить розслідування з найвищим пріоритетом, і як тільки з’явиться більше інформації, ми негайно поділимося підтвердженими оновленнями та подальшими кроками.

Bitpush продовжує відстежувати розвиток подій, ми оперативно повідомимо про всі нові подробиці, слідкуйте за оновленнями.