Problema no código da Balancer causa perda de mais de 100 milhões, quase um golpe devastador para o setor DeFi

Título original: 《Veterano DeFi em queda: Vulnerabilidade no contrato Balancer V2 resulta em roubo de mais de 1.1 bilhões de dólares em ativos》

Autor original: Wenser, Odaily

Nota: Hoje, o protocolo DeFi Balancer sofreu um ataque hacker, com o valor dos fundos roubados já ultrapassando 1.16 bilhões de dólares. Vários projetos tomaram medidas de autoproteção: Lido já retirou suas posições não afetadas do Balancer; Berachain anunciou a suspensão imediata da rede para realizar um hard fork de emergência e corrigir a vulnerabilidade relacionada ao Balancer V2 na BEX.

Além disso, Hasu, Diretor de Estratégia da Flashbots e Conselheiro Estratégico da Lido, publicou que "O Balancer v2 foi lançado em 2021 e desde então se tornou um dos contratos inteligentes mais observados e frequentemente bifurcados. Isso é extremamente preocupante. Toda vez que um contrato com tanto tempo de atividade é atacado, o progresso da adoção do DeFi retrocede de 6 a 12 meses." Segue o conteúdo original:

Em 3 de novembro, o veterano protocolo DeFi Balancer foi alvo de um roubo de mais de 70 milhões de dólares em ativos. Posteriormente, a informação foi confirmada por diversas fontes e o valor dos fundos roubados continuou a aumentar. No momento da redação, o valor dos ativos roubados do Balancer já ultrapassava 1.16 bilhões de dólares. Odaily faz uma breve análise sobre o ocorrido neste artigo.

Detalhes do roubo no Balancer: prejuízo superior a 1.16 bilhões de dólares devido a vulnerabilidade em contrato inteligente do pool v2

De acordo com informações on-chain, o atacante do Balancer já roubou mais de 1.16 bilhões de dólares, sendo os principais ativos subtraídos WETH, wstETH, osETH, frxETH, rsETH, rETH, distribuídos em várias redes como ETH, Base, Sonic, entre outras, sendo:

· Ativos roubados na rede Ethereum: cerca de 1 bilhão de dólares;

· Ativos roubados na rede Arbitrum: cerca de 8 milhões de dólares;

· Ativos roubados na rede Base: cerca de 3.95 milhões de dólares;

· Ativos roubados na rede Sonic: mais de 3.4 milhões de dólares;

· Ativos roubados na rede Optimism: cerca de 1.57 milhões de dólares;

· Ativos roubados na rede Polygon: cerca de 230 mil dólares.

O influenciador cripto Adi publicou que, segundo investigações preliminares, o ataque teve como alvo principal o cofre V2 e os pools de liquidez do Balancer, explorando uma vulnerabilidade nas interações do contrato inteligente. Investigadores on-chain apontaram que um contrato malicioso foi implantado e manipulou a chamada do Vault durante a inicialização do pool de liquidez. Autorizações e manipulações de callback incorretas permitiram ao atacante contornar as proteções, possibilitando swaps ou manipulação de saldos não autorizados entre pools de liquidez conectados, resultando no roubo rápido dos ativos em poucos minutos.

Com base nas informações disponíveis, não houve vazamento de chave privada; trata-se de uma vulnerabilidade puramente de contrato inteligente.

O auditor da empresa de auditoria kebabsec e desenvolvedor da citrea, @okkothejawa, também comentou: “(O erro de verificação mencionado por @moo9000) pode não ser a causa raiz, pois em todas as chamadas 'manageUserBalance', ops.sender == msg.sender. A vulnerabilidade pode ter ocorrido em uma transação anterior à criação do contrato de retirada de ativos, pois isso causou uma alteração de estado no cofre do Balancer.”

O Balancer também respondeu oficialmente: “A equipe oficial já está ciente da potencial vulnerabilidade que afeta os pools v2 do Balancer. Nossas equipes de engenharia e segurança estão priorizando a investigação. Assim que tivermos mais informações, compartilharemos imediatamente atualizações verificadas e próximos passos.”

O Berachain, que também corre risco de ter ativos afetados, respondeu prontamente. Após comunicado da Berachain Foundation, o fundador da Berachain, Smokey The Bera, declarou: “O grupo de nós Bera suspendeu proativamente a operação da blockchain para evitar que a vulnerabilidade do Balancer afetasse a BEX (principalmente o pool triplo de USDe).

· Solicitar à equipe Ethena que desative a ponte Bera

· Desabilitar/suspender depósitos de USDe no mercado de empréstimos

· Suspender a cunhagem e troca do token HONEY

· Comunicar-se com CEXs e outros para garantir que o endereço do hacker seja colocado na lista negra

Nosso objetivo é recuperar os fundos o mais rápido possível e garantir a segurança de todos os LPs. A equipe Berachain irá liberar o arquivo binário para os validadores de nós e provedores de serviço assim que estiver pronto (como o pool contém ativos não nativos, envolve algumas reconstruções de slots e não apenas a modificação do saldo do token Bera).”

Com o roubo no Balancer, os mais preocupados são as baleias cripto

Como um protocolo DeFi veterano, os usuários do Balancer são, sem dúvida, os mais diretamente afetados pelo roubo. Para os usuários atuais, as ações possíveis incluem:

· Retirar fundos dos pools v2 do Balancer para evitar maiores perdas;

· Revogar autorizações: usar Revoke, DeBank ou Etherscan para cancelar as permissões de contrato inteligente do endereço do Balancer, evitando riscos de segurança potenciais;

· Manter-se atento: acompanhar de perto os próximos passos do atacante do Balancer e se haverá efeito dominó em outros protocolos DeFi.

Além disso, um detalhe que chamou a atenção do mercado neste roubo foi o despertar de uma baleia cripto adormecida há 3 anos.

Segundo monitoramento da LookonChain, uma baleia cripto, 0x0090, que estava inativa há 3 anos, despertou logo após a vulnerabilidade no Balancer e rapidamente retirou cerca de 6.5 milhões de dólares em ativos relacionados do Balancer.

Desdobramentos: hacker inicia conversão de tokens

De acordo com o analista on-chain Yu Jin, o hacker do caso Balancer já começou a tentar converter vários tokens de staking líquido (LST) em ETH; anteriormente, ele trocou 10 osETH por 10.55 ETH.

Informações on-chain mostram que o hacker está usando o Cow Protocol para converter continuamente os ativos roubados em várias redes para ETH, USDC e outros ativos. Até o momento, as chances de recuperar esses ativos parecem remotas.

No futuro, se o Balancer conseguirá encontrar rapidamente a vulnerabilidade do contrato do protocolo e recuperar os ativos roubados ou fornecer uma solução correspondente, a Odaily continuará acompanhando.

Link para o artigo original