" Команда протокола децентрализованного финансовирования Balancer опубликовала в среду предварительный отчет с подробным разбором причин инцидента, в результате которого было изъято $116 млн на рынках DeFi.
Согласно отчету, в понедельник протокол Balancer подвергся сложной атаке с использованием уязвимости в коде. Эксплоит затронул пулы Balancer v2 Stable Pools и Composable Stable v5, в то время как все другие типы пулов не пострадали.
Злоумышленник использовал комбинацию функций BatchSwaps, которые позволяют пользователю объединять несколько действий в одной транзакции, включая флеш-кредиты, а также уязвимость в функции округления upscale, влияющей на операции EXACT_OUT в стабильных пулах.
Источник: Balancer.
Функция округления предназначена для округления в меньшую сторону, когда цены токенов являются входными данными. Однако злоумышленник смог манипулировать этими значениями округления и в сочетании с функцией BatchSwap изъял средства из стабильных пулов. Команда написала:
«Во многих случаях эксплуатируемые средства оставались в хранилище в качестве внутренних балансов до их вывода в последующих транзакциях».
Данный взлом служит напоминанием о том, что горячие кошельки, пулы ликвидности и средства в блокчейне, доступные через интернет, уязвимы для постоянно развивающихся киберугроз со стороны хакеров. Это побуждает пользователей криптовалют и разработчиков блокчейна соблюдать осторожность при защите средств.
Balancer отреагировал на взлом на $116 млн при помощи криптоиндустрии
Как ранее сообщалось, хакеры, вероятно, были опытными профессионалами, которые готовились к атаке в течение нескольких месяцев. Чтобы избежать обнаружения они использовали серию депозитов по 0,1 ETH из миксера Tornado Cash (TORN) для финансирования атаки.
Balancer сотрудничает с партнерами по кибербезопасности и криптопротоколами для возврата или заморозки части похищенных средств. Это включало 5 041 StakeWise Staked ETH (osETH) стоимостью около $19 млн и 13 495 токенов osGNO стоимостью до $2 млн.
Источник: BitFinding.
Команда приостановила работу всех затронутых пулов и отключила создание новых «уязвимых» пулов до устранения проблемы безопасности.
Balancer предложил вознаграждение в размере 20% по схеме белого хакера как этичным исследователям безопасности, так и злоумышленнику за возврат похищенных средств. На момент написания статьи вознаграждение никто не получил.
