„Balancer Protocol“ paskelbė, kad įsilaužėliai nusitaikė į jos v2 telkinius, o nuostoliai, kaip pranešama, siekė daugiau nei 128 mln.
Balancer yra decentralizuoto finansavimo (DeFi) protokolas, sukurtas remiantis Ethereum blokų grandine, kaip automatizuotas rinkos formuotojas ir likvidumo infrastruktūros sluoksnis.
Jis suteikia lanksčius fondus su pasirinktiniais žetonų deriniais, leidžiančiais vartotojams deponuoti turtą, uždirbti mokesčius ir leisti prekybininkams apsikeisti turtu, o jį valdo BAL prieigos raktas, kurio rinkos riba prieš pat incidentą buvo 65 mln.
„Balancer“ nepateikė daug informacijos apie incidentą, tačiau perspėjo vartotojus būti atsargiems dėl galimų sukčiavimo ar sukčiavimo bandymų.
„Balancer“ šiandien patvirtino, kad išnaudojimas paveikė jos V2 kompostuojamus stabilius baseinus 7.48 val. UTC ir kad problema neturi įtakos jokiems kitiems „Balancer“ telkiniams, įskaitant V3.
„Mūsų komanda dirba su pagrindiniais saugumo tyrėjais, kad suprastų problemą“, – prieš kelias valandas atnaujintame pranešime teigė bendrovė.
„GoPlus Security“ teigimu, „Balancer V2“ išnaudojimas atsirado dėl tikslaus apvalinimo klaidos „Vault“ apsikeitimo sandorių skaičiavimuose.
Kiekviena apsikeitimo operacija suapvalindavo žetonų sumas, sukurdama nedidelius neatitikimus, kuriuos užpuolikas galėjo pakartotinai išnaudoti. Sujungus kelis apsikeitimo sandorius per batchSwap funkciją, šie apvalinimo nuostoliai susidarė į didelį kainos iškraipymą.
Šaltinis: GoPlus Security
Tačiau kiti vartotojai, teigiantys žinantys, kas atsitiko, įsilaužimą sieja su netinkamu įgaliojimu ir atgalinio skambučio tvarkymu „Balancer“ V2 saugyklose.
Anot Aditya Bajaj, piktybiškai įdiegta sutartis manipuliavo saugyklos skambučiais inicijuojant baseiną, veiksmingai apeinant apsaugos priemones ir leidžiant neteisėtus apsikeitimo ir balanso manipuliavimus tarpusavyje sujungtuose telkiniuose.
Nors kol kas nėra susitarimo dėl atakos metodo, Balanceris pažadėjo kuo greičiau pasidalinti daugiau informacijos apie įsilaužimą ir visą pomirtinį tyrimą.
Verta paminėti, kad „Balancer V2“ nuo 2021 m. buvo audituotas 11 kartų, o tyrimo apimtis skiriasi.
Bandymas apgauti įsilaužėlį
Tuo tarpu panašu, kad kažkas bandė pasinaudoti situacija, apsimetęs Balanceriu ir įsilaužėliui pasiūlydamas „baltosios kepurės premiją“ – 20% nuo pavogtos sumos, jei sutiks grąžinti likusias lėšas konkrečiu adresu.
Sukčiavimo pranešimas yra gerai parašytas ir patikrina, ar gudrybės atrodo patikimos, įskaitant atlygį, terminą ir grėsmę – visa tai yra derybų, reikalaujančių nedelsiant bendradarbiauti, dalis.
Jei įsilaužėlis atsisako sandorio, Balancer apsimetęs sukčius pagrasina panaudoti visą informaciją, kurią turi „blockchain“ kriminalistikos ekspertai, teisėsaugos agentūros ir reguliavimo partneriai, kad nustatytų ir patrauktų baudžiamojon atsakomybėn užpuoliką.
„Mūsų partneriai labai pasitiki, kad būsite identifikuoti pagal mūsų infrastruktūros surinktus prieigos žurnalo metaduomenis, nurodančius ryšius iš apibrėžto IP adresų / ASN rinkinio ir susijusių įėjimo laiko žymų, kurios koreliuoja su operacijos veikla grandinėje“, – apgaulingame pranešime.
„Balancer“ įsilaužimas yra vienas didžiausių kriptovaliutų vagysčių 2025 m. Nors priskyrimo nėra, didžiausią grėsmę DeFi subjektams kelia Šiaurės Korėjos įsilaužėliai.
Spalio 3 d., su Šiaurės Korėjos vagystėmis siejamų kriptovaliutų suma šiais metais viršijo 2 milijardus dolerių, o didžiausia iki šiol buvo Bybit ataka vasario mėnesį, kai pavogta 1,5 milijardo dolerių kriptovaliutos.
Nesvarbu, ar valote senus raktus, ar nustatote AI sukurto kodo apsauginius turėklus, šis vadovas padės jūsų komandai saugiai kurtis nuo pat pradžių.
Gaukite sukčiavimo lapą ir pašalinkite spėliones iš paslapčių valdymo.
