Peretasan Balancer Mengakibatkan Kerugian Lebih dari $100 Juta, Memberikan Pukulan Telak bagi Industri DeFi

Original Article Title: "Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

Original Article Author: Wenser, Odaily Planet Daily

Catatan Editor: Hari ini, protokol DeFi Balancer menjadi korban peretasan, dengan dana yang dicuri kini melebihi $116 juta. Beberapa proyek telah mengambil tindakan perbaikan: Lido telah menarik posisinya di Balancer yang tidak terpengaruh, sementara Berachain telah mengumumkan penghentian jaringan untuk melakukan hard fork darurat guna menangani kerentanan terkait Balancer V2 di BEX.

Selain itu, Hasu, Direktur Strategis Flashbots dan Penasihat Strategis Lido, menyampaikan dalam sebuah postingan bahwa "Balancer v2 diluncurkan pada tahun 2021 dan sejak itu menjadi salah satu smart contract yang paling diawasi dan sering di-fork. Ini sangat mengkhawatirkan. Setiap kali sebuah kontrak yang telah berjalan begitu lama diretas, hal ini membuat adopsi DeFi mundur selama 6 hingga 12 bulan." Berikut adalah isi asli artikelnya:

Pada 3 November, protokol DeFi veteran Balancer dilaporkan telah kehilangan lebih dari $70 juta aset akibat pencurian. Selanjutnya, kabar ini dikonfirmasi oleh berbagai pihak, dan jumlah dana yang dicuri terus bertambah. Pada saat penulisan, jumlah aset yang dicuri dari Balancer telah meningkat menjadi lebih dari $116 juta. Odaily akan menganalisis secara singkat insiden ini dalam artikel ini.

Rincian Peretasan Balancer: Kerugian Melebihi $116 Juta, Utamanya Karena Cacat Smart Contract Pool v2

Berdasarkan informasi on-chain, penyerang Balancer kini telah mencuri lebih dari $116 juta aset, dengan aset utama yang dicuri meliputi WETH, wstETH, osETH, frxETH, rsETH, rETH, tersebar di berbagai chain seperti ETH, Base, Sonic, dan lain-lain, di mana:

· Aset yang dicuri di chain Ethereum: sekitar $100 juta;

· Aset yang dicuri di chain Arbitrum: hampir $8 juta;

· Aset yang dicuri di chain Base: hampir $3,95 juta;

· Aset yang dicuri di chain Sonic: lebih dari $3,4 juta;

· Aset yang dicuri di chain Optimism: hampir $1,57 juta;

· Pencurian aset on-chain Polygon: sekitar $230.000.

Crypto KOL Adi memposting bahwa investigasi awal menunjukkan bahwa serangan ini terutama menargetkan vault dan liquidity pool Balancer V2, dengan mengeksploitasi kerentanan dalam interaksi smart contract. Penyelidik on-chain menunjukkan bahwa kontrak yang disebarkan secara jahat memanipulasi panggilan Vault selama inisialisasi pool. Otorisasi yang tidak tepat dan penanganan callback memungkinkan penyerang melewati langkah-langkah perlindungan, sehingga memungkinkan swap tidak sah antara liquidity pool yang saling terhubung atau manipulasi saldo, yang menyebabkan pencurian aset secara cepat dalam hitungan menit.

Berdasarkan informasi yang tersedia, tidak ada bukti terjadinya kebocoran private key; ini murni merupakan kerentanan smart contract.

Auditor dari firma audit kebabsec dan pengembang citrea @okkothejawa juga menyebutkan, "Kesalahan pengecekan yang disebutkan oleh @moo9000 mungkin bukan penyebab utama, karena dalam semua panggilan 'manageUserBalance' ops.sender == msg.sender. Kerentanan keamanan mungkin terjadi dalam transaksi sebelum pembuatan kontrak yang mengekstrak aset, karena menyebabkan beberapa perubahan status di vault Balancer."

Tanggapan resmi dari Balancer menyatakan: "Tim kami menyadari adanya potensi kerentanan yang memengaruhi pool Balancer v2. Tim engineering dan keamanan kami sedang melakukan investigasi prioritas tinggi. Setelah kami memiliki lebih banyak informasi, kami akan segera membagikan pembaruan terverifikasi dan langkah selanjutnya."

Berachain, yang menghadapi risiko kehilangan aset, juga segera merespons. Setelah postingan dari Berachain Foundation, pendiri Berachain Smokey The Bera menyatakan, "Kelompok node Bera telah secara proaktif menghentikan operasi chain publik untuk mencegah kerentanan Balancer memengaruhi BEX (terutama three-pool USDe).

· Menginstruksikan tim Ethena untuk menonaktifkan bridging Bera

· Menonaktifkan/Menangguhkan deposit USDe di pasar lending

· Menangguhkan pencetakan dan pertukaran token HONEY

· Berkomunikasi dengan CEX dan memastikan alamat hacker masuk daftar hitam

Tujuan kami adalah memulihkan dana secepat mungkin dan memastikan keamanan semua LP. Tim Berachain akan segera merilis binary kepada validator node dan penyedia layanan terkait setelah siap (karena pool ini berisi aset non-native, maka melibatkan beberapa re-konfigurasi slot, bukan hanya mengubah saldo token Bera)."

Peretasan Balancer: Whale Kripto Paling Cemas

Sebagai protokol DeFi yang sudah mapan, pengguna Balancer jelas menjadi pihak yang paling langsung terdampak oleh peretasan ini. Untuk pengguna saat ini, tindakan yang dapat diambil meliputi:

· Menarik dana dari pool Balancer v2 untuk mencegah kerugian lebih lanjut;

· Mencabut Otorisasi: Gunakan Revoke, DeBank, atau Etherscan untuk mencabut izin smart contract dari alamat Balancer guna menghindari potensi risiko keamanan;

· Tetap Waspada: Pantau dengan cermat langkah selanjutnya dari penyerang Balancer dan apakah akan berdampak berantai pada protokol DeFi lainnya.

Selain itu, whale kripto yang telah tidak aktif selama 3 tahun menjadi sorotan dalam peretasan ini.

Berdasarkan pemantauan LookonChain, whale kripto yang telah tidur selama 3 tahun dengan alamat 0x009023dA14A3C9f448B75f33cEb9291c21373bD8 tiba-tiba aktif kembali setelah terjadi kerentanan di platform Balancer. Whale tersebut bergegas menarik aset terkait senilai $6,5 juta dari Balancer. Informasi on-chain:

Perkembangan Terbaru: Hacker Memulai Pola Penukaran Token

Berdasarkan pemantauan analis on-chain Yu Jin, hacker dari peretasan Balancer telah mulai mencoba menukar banyak liquidity-staked token (LST) menjadi ETH. Sebelumnya, hacker telah menukar 10 osETH menjadi 10,55 ETH.

Data on-chain menunjukkan bahwa hacker terus menukar aset curian di berbagai chain menjadi ETH, USDC, dan aset lainnya menggunakan Cow Protocol. Saat ini, harapan untuk memulihkan aset yang dicuri tersebut tampaknya sangat kecil.

Kedepannya, apakah Balancer dapat segera mengidentifikasi kerentanan smart contract protokol dan memulihkan aset yang dicuri dengan cepat, atau memberikan solusi yang sesuai, Odaily akan terus memantau.