Balancer xakerligi DeFi sanoatiga katta zarba berib, 100 million dollardan ortiq yo‘qotishga olib keldi

Original Article Title: "Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

Original Article Author: Wenser, Odaily Planet Daily

Tahririyat eslatmasi: Bugun DeFi protokoli Balancer xakerlik hujumiga uchradi va o‘g‘irlangan mablag‘lar hozirda 116 million dollardan oshdi. Bir nechta loyihalar zudlik bilan choralar ko‘rdi: Lido ta’sirlanmagan Balancer pozitsiyasini olib chiqdi, Berachain esa BEX’dagi Balancer V2 bilan bog‘liq zaiflikni bartaraf etish uchun tarmoqni to‘xtatib, favqulodda hard fork o‘tkazishini e’lon qildi.

Bundan tashqari, Flashbots’ning Strategik Direktori va Lido’ning Strategik Maslahatchisi Hasu postida shunday dedi: “Balancer v2 2021-yilda ishga tushirilgan va shundan beri eng diqqat bilan kuzatiladigan va tez-tez fork qilinadigan smart-kontraktlardan biriga aylandi. Bu juda tashvishli. Shuncha vaqt faol bo‘lgan kontrakt xakerlik hujumiga uchragan har safar, DeFi qabul qilinishi 6-12 oyga orqaga suriladi.” Quyida asl mazmun keltirilgan:

3-noyabr kuni, tajribali DeFi protokoli Balancer’da 70 million dollardan ortiq aktivlar o‘g‘irlangani haqida xabar berildi. Keyinchalik bu xabar bir nechta manbalar tomonidan tasdiqlandi va o‘g‘irlangan mablag‘ hajmi oshishda davom etdi. Ushbu maqola yozilayotgan vaqtda Balancer’dan o‘g‘irlangan aktivlar miqdori 116 million dollardan oshdi. Odaily ushbu hodisani qisqacha tahlil qiladi.

Balancer xakerlik tafsilotlari: Yo‘qotish 116 million dollardan oshdi, asosan v2 pool smart-kontraktidagi xatolik sababli

Zanjirdagi ma’lumotlarga ko‘ra, Balancer xakeri hozirda 116 million dollardan ortiq aktivlarni o‘g‘irladi, asosiy o‘g‘irlangan aktivlar WETH, wstETH, osETH, frxETH, rsETH, rETH bo‘lib, ular ETH, Base, Sonic va boshqa bir nechta zanjirlarga tarqalgan, jumladan:

· Ethereum zanjirida o‘g‘irlangan aktivlar: taxminan 100 million dollar;

· Arbitrum zanjirida o‘g‘irlangan aktivlar: deyarli 8 million dollar;

· Base zanjirida o‘g‘irlangan aktivlar: deyarli 3.95 million dollar;

· Sonic zanjirida o‘g‘irlangan aktivlar: 3.4 million dollardan ortiq;

· Optimism zanjirida o‘g‘irlangan aktivlar: deyarli 1.57 million dollar;

· Polygon zanjirida o‘g‘irlangan aktivlar: taxminan 230,000 dollar.

Kripto KOL Adi dastlabki tergov natijalariga ko‘ra, hujum asosan Balancer’ning V2 vault va likvidlik poolini nishonga olgan, smart-kontraktlar o‘zaro ta’siridagi zaiflikdan foydalanganini ta’kidladi. Zanjirdagi tergovchilar zararli tarzda joylashtirilgan kontrakt poolni ishga tushirish vaqtida Vault chaqiruvini manipulyatsiya qilganini aniqladi. Noto‘g‘ri avtorizatsiya va callback ishlov berish xakerga himoya choralarini chetlab o‘tishga imkon berdi, natijada bog‘langan likvidlik poollari o‘rtasida ruxsatsiz swaplar yoki balans manipulyatsiyasi amalga oshirilib, bir necha daqiqa ichida aktivlar tezda o‘g‘irlandi.

Mavjud ma’lumotlarga ko‘ra, maxfiy kalit oshkor bo‘lishi bo‘yicha hech qanday dalil yo‘q; bu faqat smart-kontrakt zaifligi.

Audit firmasi kebabsec auditor va citrea dasturchisi @okkothejawa ham shunday dedi: “@moo9000 tilga olgan tekshiruv xatosi asosiy sabab bo‘lmasligi mumkin, chunki barcha ‘manageUserBalance’ chaqiruvlarida ops.sender == msg.sender. Xavfsizlik zaifligi ehtimol aktivlarni chiqaruvchi kontrakt yaratilishidan oldingi tranzaksiyada yuzaga kelgan, chunki bu Balancer vault’ida ba’zi holat o‘zgarishlariga olib kelgan.”

Balancer’ning rasmiy javobida shunday deyiladi: “Jamoamiz Balancer v2 pool’lariga ta’sir qiluvchi potentsial zaiflikdan xabardor. Muhandislik va xavfsizlik jamoalarimiz yuqori ustuvorlikda tergov o‘tkazmoqda. Ko‘proq ma’lumotga ega bo‘lishimiz bilanoq, tasdiqlangan yangilanishlar va keyingi qadamlarni darhol ulashamiz.”

Potensial aktiv yo‘qotish xavfiga duch kelgan Berachain ham tezkor javob berdi. Berachain Foundation postidan so‘ng, Berachain asoschisi Smokey The Bera shunday dedi: “Bera node guruhi Balancer zaifligi BEX’ga (asosan USDe uchli pool) ta’sir qilmasligi uchun jamoat zanjiri ishini oldindan to‘xtatdi.

· Ethena jamoasiga Bera bridging’ni o‘chirib qo‘yishni buyurish

· Lending bozorida USDe depozitlarini o‘chirish/to‘xtatib turish

· HONEY token chiqarish va almashinuvini to‘xtatib turish

· CEX’lar bilan aloqa qilish va xaker manzillarini qora ro‘yxatga kiritishni ta’minlash

Maqsadimiz mablag‘larni imkon qadar tezroq qaytarib olish va barcha LP’larning xavfsizligini ta’minlash. Berachain jamoasi tayyor bo‘lishi bilanoq, tegishli node validatorlari va xizmat ko‘rsatuvchilarga binar fayllarni darhol chiqaradi (bu poolda native bo‘lmagan aktivlar mavjudligi sababli, ba’zi slotlarni qayta sozlash talab qilinadi, faqat Bera token balansini o‘zgartirish emas).”

Balancer xakerligi: Kripto kitlar eng ko‘p xavotirda

Yirik DeFi protokoli sifatida Balancer foydalanuvchilari, shubhasiz, ushbu xakerlikdan eng ko‘p zarar ko‘rganlar. Hozirgi foydalanuvchilar uchun quyidagi choralarni ko‘rish mumkin:

· Balancer v2 pool’laridan mablag‘larni olib chiqish, qo‘shimcha yo‘qotishlarning oldini olish;

· Avtorizatsiyani bekor qilish: Balancer manzilidan smart-kontrakt ruxsatlarini Revoke, DeBank yoki Etherscan orqali bekor qilish, potentsial xavfsizlik xatarlaridan saqlanish;

· Hushyor bo‘lish: Balancer xakerining keyingi harakatlarini diqqat bilan kuzatish va ular boshqa DeFi protokollariga domino ta’siri ko‘rsatadimi-yo‘qligini nazorat qilish.

Bundan tashqari, ushbu xakerlikda 3 yil davomida faol bo‘lmagan kripto kit ham e’tiborni tortdi.

LookonChain monitoringiga ko‘ra, 0x009023dA14A3C9f448B75f33cEb9291c21373bD8 manziliga ega 3 yil davomida harakatsiz bo‘lgan kripto kit Balancer platformasidagi zaiflik yuzaga kelgach, to‘satdan uyg‘ondi. Bu kit Balancer’dan 6.5 million dollarlik aktivlarini olib chiqishga shoshilmoqda. Zanjirdagi ma’lumotlar:

So‘nggi yangiliklar: Xaker token almashish sxemasini boshladi

Zanjirdagi tahlilchi Yu Jin monitoringiga ko‘ra, Balancer xakeri ko‘plab likvidlik staking tokenlarini (LST) ETH’ga almashtirishga harakat qilmoqda. Avvalroq, xaker 10 osETH’ni 10.55 ETH’ga almashtirgan.

Zanjirdagi ma’lumotlarga ko‘ra, xaker Cow Protocol’dan foydalanib, bir nechta zanjirlar bo‘ylab o‘g‘irlangan aktivlarni ETH, USDC va boshqa aktivlarga doimiy ravishda almashtirmoqda. Hozirda ushbu o‘g‘irlangan aktivlarni qaytarib olish umidi juda kam ko‘rinadi.

Kelajakda, Balancer protokol kontrakti zaifligini o‘z vaqtida aniqlab, o‘g‘irlangan aktivlarni tezda qaytarib oladimi yoki mos yechim taqdim etadimi, Odaily kuzatishda davom etadi.