Masalah kode Balancer menyebabkan kerugian lebih dari 100 juta, hampir menjadi pukulan mematikan bagi industri DeFi

Judul Asli: "DeFi Klasik Terpuruk: Kerentanan Kontrak Balancer V2, Lebih dari 1.1 Miliar Dolar AS Aset Dicuri"

Penulis Asli: Wenser, Odaily

Catatan: Hari ini, protokol DeFi Balancer mengalami serangan hacker, dengan jumlah dana yang dicuri saat ini telah melampaui 1.16 miliar dolar AS. Beberapa proyek telah mengambil langkah penyelamatan: Lido telah menarik posisinya di Balancer yang tidak terdampak; Berachain langsung mengumumkan penghentian jaringan untuk melakukan hard fork darurat guna memperbaiki kerentanan terkait Balancer V2 di BEX.

Selain itu, Direktur Strategi Flashbots sekaligus Penasihat Strategi Lido, Hasu, menulis, "Balancer v2 diluncurkan pada 2021, sejak itu menjadi salah satu kontrak pintar yang paling diperhatikan dan sering difork. Ini sangat mengkhawatirkan. Setiap kali kontrak yang sudah lama berjalan seperti ini diserang, adopsi DeFi mundur 6 hingga 12 bulan." Berikut adalah isi aslinya:

Pada 3 November, protokol DeFi klasik Balancer dilaporkan kehilangan lebih dari 70 juta dolar AS aset. Setelah itu, kabar ini dikonfirmasi oleh banyak pihak, dan jumlah dana yang dicuri terus meningkat. Saat artikel ini ditulis, jumlah aset yang dicuri dari Balancer telah meningkat menjadi lebih dari 1.16 miliar dolar AS. Odaily akan memberikan analisis singkat terkait insiden ini.

Rincian Pencurian Balancer: Kerugian Dana Lebih dari 1.16 Miliar Dolar AS, Utamanya Karena Kerentanan Kontrak Pintar Pool v2

Berdasarkan data on-chain, pelaku serangan Balancer saat ini telah mencuri dana lebih dari 1.16 miliar dolar AS, dengan aset utama yang dicuri meliputi WETH, wstETH, osETH, frxETH, rsETH, rETH, tersebar di beberapa chain seperti ETH, Base, Sonic, dan lainnya, di antaranya:

· Aset yang dicuri di chain Ethereum: sekitar 100 juta dolar AS;

· Aset yang dicuri di chain Arbitrum: sekitar 8 juta dolar AS;

· Aset yang dicuri di chain Base: sekitar 3.95 juta dolar AS;

· Aset yang dicuri di chain Sonic: lebih dari 3.4 juta dolar AS;

· Aset yang dicuri di chain Optimism: sekitar 1.57 juta dolar AS;

· Aset yang dicuri di chain Polygon: sekitar 230 ribu dolar AS.

KOL kripto Adi menulis bahwa investigasi awal menunjukkan, serangan ini terutama menargetkan Vault dan liquidity pool V2 Balancer, dengan memanfaatkan kerentanan dalam interaksi kontrak pintar. Peneliti on-chain menunjukkan, sebuah kontrak berbahaya yang dideploy memanipulasi pemanggilan Vault selama inisialisasi liquidity pool. Otorisasi dan penanganan callback yang tidak tepat memungkinkan pelaku untuk melewati perlindungan, sehingga memungkinkan swap atau manipulasi saldo antar liquidity pool yang saling terhubung tanpa otorisasi, sehingga aset dapat dicuri dengan cepat dalam hitungan menit.

Berdasarkan informasi yang ada, tidak ada kebocoran private key, ini murni kerentanan kontrak pintar.

Auditor dari lembaga audit kebabsec, sekaligus developer citrea @okkothejawa juga menulis, "(Pemeriksaan error yang disebutkan oleh @moo9000) mungkin bukan penyebab utama, karena dalam semua pemanggilan 'manageUserBalance', ops.sender == msg.sender. Kerentanan keamanan mungkin terjadi pada transaksi sebelum kontrak penarikan aset dibuat, karena menyebabkan perubahan status tertentu di Vault Balancer."

Pihak resmi Balancer juga merespons secara terbuka: "Tim resmi telah mengetahui potensi kerentanan yang memengaruhi pool Balancer v2. Tim engineering dan keamanan kami sedang melakukan investigasi dengan prioritas tinggi. Setelah mendapatkan informasi lebih lanjut, kami akan segera membagikan pembaruan yang telah diverifikasi dan langkah selanjutnya."

Berachain yang juga berisiko mengalami kerugian aset langsung memberikan respons. Setelah pengumuman dari Berachain Foundation, pendiri Berachain Smokey The Bera menyatakan, "Kelompok node Bera telah secara proaktif menghentikan operasi chain publik untuk mencegah dampak kerentanan Balancer pada BEX (terutama pool USDe tiga token).

· Meminta tim Ethena menonaktifkan bridging Bera

· Pasar pinjaman menonaktifkan/menangguhkan deposit USDe

· Menangguhkan minting dan penukaran token HONEY

· Berkoordinasi dengan CEX dan lainnya untuk memastikan alamat hacker masuk daftar hitam

Tujuan kami adalah secepat mungkin memulihkan dana dan memastikan keamanan semua LP. Tim Berachain akan segera merilis file biner kepada validator node dan penyedia layanan terkait setelah siap (karena pool ini berisi aset non-native, maka melibatkan beberapa rekonstruksi slot, bukan hanya sekadar mengubah saldo token Bera)."

Balancer Dibobol, Pihak Paling Cemas Adalah Crypto Whale

Sebagai protokol DeFi klasik, pengguna Balancer jelas menjadi pihak yang paling terdampak langsung dari insiden pencurian ini. Untuk pengguna saat ini, langkah yang dapat dilakukan meliputi:

· Menarik dana dari pool Balancer v2 untuk menghindari kerugian lebih lanjut;

· Membatalkan otorisasi: menggunakan Revoke, DeBank, atau Etherscan untuk membatalkan izin kontrak pintar pada alamat Balancer, guna menghindari risiko keamanan potensial;

· Tetap waspada: memantau dengan seksama langkah selanjutnya dari pelaku serangan Balancer serta potensi dampaknya terhadap protokol DeFi lain.

Selain itu, dalam insiden pencurian kali ini, ada satu crypto whale yang tidur selama 3 tahun yang menarik perhatian pasar.

Menurut pemantauan LookonChain, seorang crypto whale 0x0090 yang telah tidur selama 3 tahun baru saja aktif kembali setelah terjadinya kerentanan di platform Balancer, dan buru-buru menarik aset senilai 6.5 juta dolar AS dari Balancer.

Perkembangan Selanjutnya: Hacker Mulai Melakukan Penukaran Token

Menurut pemantauan analis on-chain Yu Jin, hacker dalam insiden pencurian Balancer telah mulai mencoba menukar berbagai liquidity staking token (LST) menjadi ETH, sebelumnya mereka telah menukar 10 osETH menjadi 10.55 ETH.

Data on-chain menunjukkan, hacker terus menukar aset curian di berbagai chain menjadi ETH, USDC, dan aset lainnya melalui Cow Protocol. Saat ini, harapan untuk memulihkan aset curian ini tampak sangat kecil.

Selanjutnya, apakah Balancer dapat segera menemukan kerentanan kontrak protokol dan dengan cepat memulihkan aset yang dicuri atau memberikan solusi yang sesuai, Odaily akan terus memantau perkembangan ini.

Tautan Asli