Le piratage de Balancer entraîne une perte de plus de 100 millions de dollars, portant un coup dévastateur à l'industrie DeFi

Original Article Title: "Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

Original Article Author: Wenser, Odaily Planet Daily

Note de la rédaction : Aujourd'hui, le protocole DeFi Balancer a été victime d'un piratage, les fonds volés dépassant désormais 116 millions de dollars. Plusieurs projets ont pris des mesures correctives : Lido a retiré sa position Balancer non affectée, tandis que Berachain a annoncé un arrêt du réseau afin de procéder à un hard fork d'urgence pour traiter la vulnérabilité liée à Balancer V2 sur le BEX.

De plus, Hasu, Directeur Stratégique de Flashbots et Conseiller Stratégique de Lido, a exprimé dans un post que "Balancer v2 a été lancé en 2021 et est depuis devenu l'un des contrats intelligents les plus surveillés et les plus fréquemment forkés. C'est très préoccupant. Chaque fois qu'un contrat qui est en ligne depuis si longtemps se fait pirater, cela retarde l'adoption de la DeFi de 6 à 12 mois." Voici le contenu original :

Le 3 novembre, le protocole DeFi vétéran Balancer a été signalé comme ayant subi un vol de plus de 70 millions de dollars d'actifs. Par la suite, cette information a été confirmée par plusieurs parties, et le montant des fonds volés a continué d'augmenter. Au moment de la rédaction, le montant des actifs volés à Balancer avait dépassé 116 millions de dollars. Odaily propose une brève analyse de cet incident dans cet article.

Détails du piratage de Balancer : pertes dépassant 116 millions de dollars, principalement dues à une faille du smart contract du pool v2

Selon les informations on-chain, l'attaquant de Balancer a désormais volé plus de 116 millions de dollars d'actifs, les principaux actifs dérobés comprenant WETH, wstETH, osETH, frxETH, rsETH, rETH, répartis sur plusieurs blockchains telles que ETH, Base, Sonic, etc., où :

· Actifs volés sur la blockchain Ethereum : environ 100 millions de dollars ;

· Actifs volés sur la blockchain Arbitrum : près de 8 millions de dollars ;

· Actifs volés sur la blockchain Base : près de 3,95 millions de dollars ;

· Actifs volés sur la blockchain Sonic : plus de 3,4 millions de dollars ;

· Actifs volés sur la blockchain Optimism : près de 1,57 million de dollars ;

· Vol d'actifs sur la blockchain Polygon : environ 230 000 dollars.

Le KOL crypto Adi a publié que les premières enquêtes indiquent que l'attaque a principalement ciblé le coffre-fort V2 et le pool de liquidité de Balancer, exploitant une vulnérabilité dans les interactions du smart contract. Les enquêteurs on-chain ont souligné qu'un contrat malveillant déployé a manipulé l'appel Vault lors de l'initialisation du pool. Une autorisation inadéquate et une gestion incorrecte des callbacks ont permis à l'attaquant de contourner les mesures de protection, rendant possibles des échanges non autorisés entre pools de liquidité interconnectés ou une manipulation des soldes, entraînant un vol rapide d'actifs en quelques minutes.

Sur la base des informations disponibles, il n'y a aucune preuve d'une exposition de clé privée ; il s'agit purement d'une vulnérabilité du smart contract.

La société d'audit kebabsec et le développeur citrea @okkothejawa ont également mentionné : "L'erreur de vérification mentionnée par @moo9000 n'est peut-être pas la cause principale, car dans tous les appels 'manageUserBalance', ops.sender == msg.sender. La vulnérabilité de sécurité a pu se produire lors d'une transaction antérieure à la création du contrat qui extrait les actifs, car elle a entraîné certains changements d'état dans le coffre-fort Balancer."

La réponse officielle de Balancer a déclaré : "Notre équipe est consciente d'une vulnérabilité potentielle affectant les pools Balancer v2. Nos équipes d'ingénierie et de sécurité mènent actuellement une enquête prioritaire. Dès que nous aurons plus d'informations, nous partagerons immédiatement des mises à jour vérifiées et les prochaines étapes."

Berachain, qui fait face à des risques potentiels de perte d'actifs, a également réagi rapidement. Suite à une publication de la Berachain Foundation, le fondateur de Berachain, Smokey The Bera, a déclaré : "Le groupe de nœuds Bera a proactivement suspendu l'opération de la chaîne publique pour empêcher la vulnérabilité de Balancer d'affecter le BEX (principalement le pool USDe à trois actifs).

· Demander à l'équipe Ethena de désactiver le bridging Bera

· Désactiver/suspendre les dépôts USDe sur le marché du prêt

· Suspendre la frappe et l'échange du token HONEY

· Communiquer avec les CEX et s'assurer que les adresses des hackers sont sur liste noire

Notre objectif est de récupérer les fonds aussi rapidement que possible et d'assurer la sécurité de tous les LP. L'équipe Berachain publiera immédiatement les binaires aux validateurs de nœuds et aux fournisseurs de services concernés dès qu'ils seront prêts (comme ce pool contient des actifs non natifs, cela implique une certaine reconfiguration des slots, pas seulement la modification du solde du token Bera)."

Piratage de Balancer : les baleines crypto les plus inquiètes

En tant que protocole DeFi bien établi, les utilisateurs de Balancer sont sans aucun doute les plus directement touchés par ce piratage. Pour les utilisateurs actuels, les actions possibles incluent :

· Retirer les fonds des pools Balancer v2 pour éviter d'autres pertes ;

· Révoquer les autorisations : utiliser Revoke, DeBank ou Etherscan pour révoquer les permissions du smart contract de l'adresse Balancer afin d'éviter d'éventuels risques de sécurité ;

· Rester vigilant : surveiller de près les prochaines actions de l'attaquant de Balancer et s'il y aura un effet de contagion sur d'autres protocoles DeFi.

De plus, une baleine crypto dormante, inactive depuis 3 ans, a attiré l'attention lors de ce piratage.

Selon la surveillance de LookonChain, une baleine crypto dormante depuis 3 ans avec l'adresse 0x009023dA14A3C9f448B75f33cEb9291c21373bD8 s'est soudainement réveillée après la découverte de la vulnérabilité de la plateforme Balancer. Cette baleine cherche à retirer ses actifs liés à hauteur de 6,5 millions de dollars de Balancer. Informations on-chain :

Dernier développement : le hacker initie un schéma d'échange de tokens

Selon la surveillance de l'analyste on-chain Yu Jin, le hacker du piratage de Balancer a commencé à tenter d'échanger de nombreux tokens de liquidité stakés (LST) contre de l'ETH. Auparavant, le hacker avait échangé 10 osETH contre 10,55 ETH.

Les données on-chain montrent que le hacker échange continuellement les actifs volés sur plusieurs chaînes contre de l'ETH, de l'USDC et d'autres actifs en utilisant le Cow Protocol. Actuellement, l'espoir de récupérer ces actifs volés semble mince.

À l'avenir, que Balancer puisse ou non identifier rapidement la vulnérabilité du smart contract du protocole et récupérer rapidement les actifs volés, ou fournir une solution correspondante, Odaily continuera à suivre l'affaire.