Il problema nel codice di Balancer ha causato perdite superiori a 100 milioni, infliggendo un colpo quasi devastante all’industria DeFi.

Titolo originale: "Il crollo della storica DeFi: vulnerabilità del contratto Balancer V2, oltre 1.1 miliardi di dollari rubati"

Autore originale: Wenser, Odaily

Nota di Rhythm: Oggi, il protocollo DeFi Balancer è stato vittima di un attacco hacker, con fondi rubati che hanno già superato 1.16 miliardi di dollari. Diversi progetti hanno adottato misure di auto-salvataggio: Lido ha già ritirato le sue posizioni Balancer non colpite; Berachain ha invece annunciato direttamente la sospensione della rete per effettuare un hard fork d'emergenza e correggere la vulnerabilità relativa a Balancer V2 su BEX.

Inoltre, Hasu, Strategic Lead di Flashbots e Strategic Advisor di Lido, ha dichiarato: "Balancer v2 è stato lanciato nel 2021 e da allora è diventato uno dei contratti intelligenti più seguiti e frequentemente forkati. Questo è molto preoccupante. Ogni volta che un contratto in funzione da così tanto tempo viene attaccato, il processo di adozione della DeFi subisce un ritardo di 6-12 mesi." Di seguito il contenuto originale:

Il 3 novembre, il protocollo DeFi storico Balancer è stato colpito da un furto di oltre 70 milioni di dollari in asset. Successivamente, la notizia è stata confermata da più fonti, e l'ammontare dei fondi rubati è continuato a salire. Al momento della stesura, il valore degli asset sottratti a Balancer ha superato 1.16 miliardi di dollari. Odaily fornirà una breve analisi dell'accaduto in questo articolo.

Dettagli del furto su Balancer: perdite superiori a 1.16 miliardi di dollari, causa principale una vulnerabilità nel contratto intelligente della pool v2

Secondo le informazioni on-chain, l'attaccante di Balancer ha già sottratto fondi per oltre 1.16 miliardi di dollari, principalmente in asset come WETH, wstETH, osETH, frxETH, rsETH, rETH, distribuiti su diverse chain tra cui ETH, Base, Sonic e altre. In particolare:

· Asset rubati sulla chain Ethereum: circa 1 miliardo di dollari;

· Asset rubati sulla chain Arbitrum: circa 8 milioni di dollari;

· Asset rubati sulla chain Base: circa 3.95 milioni di dollari;

· Asset rubati sulla chain Sonic: oltre 3.4 milioni di dollari;

· Asset rubati sulla chain Optimism: circa 1.57 milioni di dollari;

· Asset rubati sulla chain Polygon: circa 230.000 dollari.

Il KOL crypto Adi ha dichiarato che le indagini preliminari mostrano che l'attacco ha preso di mira principalmente la Vault V2 e le liquidity pool di Balancer, sfruttando una vulnerabilità nell'interazione dei contratti intelligenti. Gli investigatori on-chain hanno sottolineato che un contratto malevolo è stato distribuito e ha manipolato la chiamata Vault durante l'inizializzazione della pool di liquidità. Un'autorizzazione e una gestione delle callback errate hanno permesso all'attaccante di aggirare le misure di protezione, consentendo swap o manipolazioni di saldo non autorizzate tra pool di liquidità interconnesse, portando al rapido furto di asset in pochi minuti.

Dalle informazioni disponibili, non si è verificata alcuna fuga di chiavi private: si tratta di una pura vulnerabilità del contratto intelligente.

L'auditor di kebabsec e sviluppatore di citrea @okkothejawa ha dichiarato: "(L'errore menzionato da @moo9000) potrebbe non essere la causa principale, poiché in tutte le chiamate 'manageUserBalance' ops.sender == msg.sender. La vulnerabilità potrebbe essersi verificata nella transazione precedente alla creazione del contratto per il prelievo degli asset, poiché ha causato alcune modifiche di stato nella Vault di Balancer."

Balancer ha risposto ufficialmente: "Il team ufficiale è a conoscenza della potenziale vulnerabilità che interessa le pool Balancer v2. I nostri team di ingegneria e sicurezza stanno dando la massima priorità alle indagini. Non appena avremo ulteriori informazioni, condivideremo immediatamente aggiornamenti verificati e i prossimi passi."

Anche Berachain, che rischia potenzialmente danni agli asset, ha risposto tempestivamente. Dopo la comunicazione della Berachain Foundation, il fondatore di Berachain, Smokey The Bera, ha dichiarato: "Il gruppo di nodi Bera ha sospeso proattivamente il funzionamento della blockchain pubblica per prevenire l'impatto della vulnerabilità di Balancer su BEX (principalmente sulla pool USDe).

· Il team Ethena ha disabilitato il bridge Bera

· Il mercato dei prestiti ha disabilitato/sospeso i depositi USDe

· Sospesa la minting e il redemption del token HONEY

· Comunicazione con CEX e altri per assicurarsi che gli indirizzi degli hacker siano inseriti in blacklist

Il nostro obiettivo è recuperare i fondi il prima possibile e garantire la sicurezza di tutti gli LP. Il team Berachain rilascerà i file binari ai validatori dei nodi e ai fornitori di servizi non appena saranno pronti (poiché questa pool contiene asset non nativi, sono coinvolte alcune ricostruzioni di slot, non solo la modifica del saldo dei token Bera)."

Il furto su Balancer: i più preoccupati sono le crypto whale

In quanto storico protocollo DeFi, gli utenti di Balancer sono senza dubbio i più direttamente colpiti da questo furto. Per gli utenti attuali, le azioni possibili includono:

· Ritirare i fondi dalle pool Balancer v2 per evitare ulteriori perdite;

· Revocare le autorizzazioni: utilizzare Revoke, DeBank o Etherscan per annullare i permessi dei contratti intelligenti all'indirizzo Balancer, evitando potenziali rischi di sicurezza;

· Restare aggiornati: monitorare attentamente le prossime mosse dell'attaccante di Balancer e verificare se ci saranno effetti a catena su altri protocolli DeFi.

Inoltre, questo furto ha attirato l'attenzione del mercato su una crypto whale inattiva da 3 anni.

Secondo il monitoraggio di LookonChain, una whale 0x0090, inattiva da 3 anni, si è appena risvegliata dopo la vulnerabilità su Balancer, cercando urgentemente di prelevare i suoi asset per un valore di 6.5 milioni di dollari da Balancer.

Sviluppi successivi: l'hacker inizia a convertire i token

Secondo il monitoraggio dell'analista on-chain Yu Jin, l'hacker del caso Balancer ha già iniziato a convertire vari token di liquid staking (LST) in ETH; in precedenza aveva convertito 10 osETH in 10.55 ETH.

Dalle informazioni on-chain, l'hacker sta utilizzando Cow Protocol per convertire continuamente gli asset rubati su più chain in ETH, USDC e altri asset. Al momento, le possibilità di recuperare questi asset sembrano piuttosto scarse.

In seguito, se Balancer riuscirà a individuare tempestivamente la vulnerabilità del contratto del protocollo e a recuperare rapidamente gli asset rubati o a fornire una soluzione adeguata, Odaily continuerà a seguire la vicenda.

Link originale