Balancer kodidagi muammo 100 milliondan ortiq yo‘qotishga olib keldi, bu DeFi sohasiga deyarli halokatli zarba berdi

Asl sarlavha: "Klassik DeFi qulab tushdi: Balancer V2 kontraktidagi zaiflik, 1.1 milliard dollardan ortiq aktivlar o‘g‘irlandi"

Asl muallif: Wenser, Odaily

Lutfining eslatmasi: Bugun, DeFi protokoli Balancer xakerlik hujumiga uchradi, hozirda o‘g‘irlangan mablag‘ miqdori 1.16 milliard dollardan oshdi. Bir nechta loyihalar o‘z-o‘zini qutqarish choralarini ko‘rdi: Lido ta’sirlanmagan Balancer pozitsiyalarini olib chiqdi; Berachain esa tarmoqni to‘xtatib, BEX’dagi Balancer V2 bilan bog‘liq zaiflikni favqulodda hard fork orqali tuzatishga qaror qildi.

Bundan tashqari, Flashbots strategik direktori va Lido strategik maslahatchisi Hasu quyidagicha izoh qoldirdi: "Balancer v2 2021-yilda ishga tushirilgan va shundan beri eng ko‘p e’tibor qaratilgan va tez-tez fork qilinadigan aqlli kontraktlardan biriga aylandi. Bu juda xavotirli. Har safar shuncha vaqt ishlagan kontrakt xakerlik hujumiga uchraganida, DeFi’ning qabul qilinish jarayoni 6-12 oyga orqaga suriladi." Quyida asl matn keltirilgan:

3-noyabr kuni, klassik DeFi protokoli Balancer’da 70 million dollardan ortiq aktivlar o‘g‘irlangani haqida xabar tarqaldi. Keyinchalik, bu xabar bir nechta manbalar tomonidan tasdiqlandi va o‘g‘irlangan mablag‘ miqdori doimiy ravishda oshdi. Ushbu maqola yozilayotgan vaqtda, Balancer’dan o‘g‘irlangan aktivlar miqdori 1.16 milliard dollardan oshdi. Odaily ushbu voqeani qisqacha tahlil qiladi.

Balancer o‘g‘irlanishi tafsilotlari: 1.16 milliard dollardan ortiq zarar, asosiy sabab v2 pool aqlli kontrakti zaifligi

Zanjirdagi ma’lumotlarga ko‘ra, Balancer xakeri hozirda 1.16 milliard dollardan ortiq mablag‘ni o‘g‘irladi, asosiy o‘g‘irlangan aktivlar WETH, wstETH, osETH, frxETH, rsETH, rETH bo‘lib, ular ETH, Base, Sonic va boshqa tarmoqlarda joylashgan. Jumladan:

· Ethereum tarmog‘ida o‘g‘irlangan aktivlar: taxminan 100 million dollar atrofida;

· Arbitrum tarmog‘ida o‘g‘irlangan aktivlar: taxminan 8 million dollar;

· Base tarmog‘ida o‘g‘irlangan aktivlar: taxminan 3.95 million dollar;

· Sonic tarmog‘ida o‘g‘irlangan aktivlar: 3.4 million dollardan ortiq;

· Optimism tarmog‘ida o‘g‘irlangan aktivlar: taxminan 1.57 million dollar;

· Polygon tarmog‘ida o‘g‘irlangan aktivlar: taxminan 230 ming dollar.

Kripto KOL Adi o‘z postida shunday dedi: dastlabki tergov natijalariga ko‘ra, bu hujum asosan Balancer’ning V2 Vault va likvidlik poollariga qaratilgan bo‘lib, aqlli kontraktlar o‘zaro ta’siridagi zaiflikdan foydalanilgan. Zanjir tergovchilari, yovuz niyat bilan joylashtirilgan kontrakt likvidlik pooli ishga tushirilganda Vault chaqiruvini manipulyatsiya qilganini aniqladi. Noto‘g‘ri avtorizatsiya va callback ishlov berish natijasida xaker himoya choralarini chetlab o‘ta oldi, bu esa o‘zaro bog‘langan likvidlik poollari o‘rtasida ruxsatsiz Swap yoki balans manipulyatsiyasini amalga oshirishga imkon berdi va bir necha daqiqa ichida aktivlarni tezda o‘g‘irlashga olib keldi.

Mavjud ma’lumotlarga ko‘ra, maxfiy kalitning sizib chiqishi aniqlanmadi, bu sof aqlli kontrakt zaifligi hisoblanadi.

Audit agentligi kebabsec auditori, citrea ishlab chiquvchisi @okkothejawa ham quyidagicha izoh qoldirdi: "(@moo9000 tilga olgan tekshiruv xatosi) ehtimol asosiy sabab emas, chunki barcha 'manageUserBalance' chaqiruvlarida ops.sender == msg.sender. Xavfsizlik zaifligi aktivlarni yechib olish kontrakti yaratilishidan oldingi tranzaksiyada yuzaga kelgan bo‘lishi mumkin, chunki bu Balancer Vault’dagi ba’zi holat o‘zgarishlariga olib kelgan."

Balancer rasmiylari ham quyidagicha javob berdi: "Rasmiy jamoa Balancer v2 poollariga ta’sir qiluvchi potentsial zaiflikdan xabardor. Muhandislik va xavfsizlik jamoamiz tergovni eng yuqori ustuvorlikda olib bormoqda. Qo‘shimcha ma’lumotga ega bo‘lishimiz bilanoq, tasdiqlangan yangilanish va keyingi qadamlarni darhol baham ko‘ramiz."

Potensial aktivlar xavfi mavjud bo‘lgan Berachain ham zudlik bilan o‘z javobini berdi. Berachain Foundation postidan so‘ng, Berachain asoschisi Smokey The Bera quyidagicha izoh qoldirdi: "Bera node guruhi BEX’dagi (asosan USDe uch pooli) Balancer zaifligining oldini olish uchun tarmoq ishini ixtiyoriy ravishda to‘xtatdi.

· Ethena jamoasiga Bera bridge’ni o‘chirib qo‘yishni buyurish

· Kredit bozorida USDe depozitlarini o‘chirish/to‘xtatish

· HONEY tokenini chiqarish va almashtirishni to‘xtatish

· CEX va boshqalar bilan bog‘lanib, xaker manzillarini qora ro‘yxatga kiritishni ta’minlash

Maqsadimiz mablag‘larni imkon qadar tezroq qaytarib olish va barcha LP’larning xavfsizligini ta’minlash. Berachain jamoasi tayyor bo‘lgach, tegishli node validatorlari va xizmat ko‘rsatuvchi provayderlarga binar fayllarni chiqaradi (bu poolda native bo‘lmagan aktivlar mavjudligi sababli, ba’zi slotlarni qayta qurish va boshqalar talab qilinadi, faqat Bera token balansini o‘zgartirish emas)."

Balancer o‘g‘irlandi, eng ko‘p xavotirga tushganlar — kripto kitlar

Klassik DeFi protokoli sifatida, Balancer foydalanuvchilari ushbu o‘g‘irlik hodisasidan eng ko‘p zarar ko‘rganlar bo‘ldi. Hozirgi foydalanuvchilar quyidagilarni amalga oshirishi mumkin:

· Balancer v2 poollaridan mablag‘larni olib chiqish, zarar kengayishini oldini olish;

· Avtorizatsiyani bekor qilish: Revoke, DeBank yoki Etherscan yordamida Balancer manzilining aqlli kontrakt ruxsatlarini bekor qilish, potentsial xavfsizlik xatarlaridan saqlanish;

· E’tiborni saqlash: Balancer xakerining keyingi harakatlarini va boshqa DeFi protokollariga zanjirli ta’sir ko‘rsatish ehtimolini diqqat bilan kuzatish.

Bundan tashqari, ushbu o‘g‘irlik hodisasida 3 yil davomida harakatsiz bo‘lgan kripto kit bozor e’tiborini tortdi.

LookonChain monitoringiga ko‘ra, 3 yil davomida uxlab yotgan 0x0090 manzilli kripto kit Balancer’dagi zaiflik yuzaga kelgach, uyg‘onib, Balancer’dan o‘zining 6.5 million dollarlik aktivlarini tezda olib chiqishga harakat qilgan.

Keyingi rivojlanish: Xaker tokenlarni almashtirish rejimiga o‘tdi

Zanjir tahlilchisi Yu Jin monitoringiga ko‘ra, Balancer o‘g‘irligi xakeri ko‘plab likvid staking tokenlarini (LST) ETH’ga almashtirishni boshlagan, ilgari u 10 osETH’ni 10.55 ETH’ga almashtirgan edi.

Zanjirdagi ma’lumotlarga ko‘ra, xaker Cow Protocol orqali bir nechta tarmoqlardagi o‘g‘irlangan aktivlarni ETH, USDC va boshqa aktivlarga doimiy ravishda almashtirmoqda. Hozircha, ushbu o‘g‘irlangan aktivlarni qaytarib olish umidi juda past ko‘rinadi.

Keyingi bosqichda, Balancer protokol kontrakti zaifligini o‘z vaqtida aniqlab, o‘g‘irlangan aktivlarni tezda qaytarib olishi yoki mos echim taqdim eta oladimi, Odaily kuzatishda davom etadi.

Asl maqola havolasi