Balancer V2’dagi zaiflik 1.16 milliard dollardan ortiq zarar keltirdi, ko‘p zanjirli protokollar zarar ko‘rdi

Asl sarlavha: "Klassik DeFi qulab tushdi: Balancer V2 kontraktidagi zaiflik, 1.1 milliard dollardan ortiq aktivlar o‘g‘irlandi"

Asl muallif: Wenser, Odaily

3-noyabr kuni, klassik DeFi protokoli Balancer’da 70 million dollardan ortiq aktivlar o‘g‘irlangani haqida xabar tarqaldi. Keyinchalik, bu xabar bir nechta manbalar tomonidan tasdiqlandi va o‘g‘irlangan mablag‘ miqdori oshishda davom etdi. Ushbu maqola yozilayotgan vaqtda, Balancer’dan o‘g‘irlangan aktivlar miqdori 1.16 milliard dollardan oshdi. Odaily ushbu voqeani qisqacha tahlil qiladi.

Balancer o‘g‘irlanishi tafsilotlari: 1.16 milliard dollardan ortiq mablag‘ yo‘qotildi, asosiy sabab v2 pool smart-kontraktidagi zaiflik

Zanjirdagi ma’lumotlarga ko‘ra, Balancer’ga hujum qilgan shaxs hozirda 1.16 milliard dollardan ortiq mablag‘ni o‘g‘irladi, asosiy o‘g‘irlangan aktivlar WETH, wstETH, osETH, frxETH, rsETH, rETH bo‘lib, ular ETH, Base, Sonic va boshqa zanjirlarda tarqalgan, jumladan:

· Ethereum zanjirida o‘g‘irlangan aktivlar: taxminan 100 million dollar atrofida;

· Arbitrum zanjirida o‘g‘irlangan aktivlar: taxminan 8 million dollar;

· Base zanjirida o‘g‘irlangan aktivlar: taxminan 3.95 million dollar;

· Sonic zanjirida o‘g‘irlangan aktivlar: 3.4 million dollardan ortiq;

· Optimism zanjirida o‘g‘irlangan aktivlar: taxminan 1.57 million dollar;

· Polygon zanjirida o‘g‘irlangan aktivlar: taxminan 230 ming dollar.

Kripto KOL Adi o‘z postida ta’kidlashicha, dastlabki tergov natijalariga ko‘ra, ushbu hujum asosan Balancer’ning V2 vault va likvidlik poollariga qaratilgan bo‘lib, smart-kontraktlar o‘zaro aloqasidagi zaiflikdan foydalanilgan. Zanjirdagi tergovchilar, zararli tarzda joylashtirilgan kontrakt likvidlik pooli ishga tushirilishida Vault chaqiruvini manipulyatsiya qilganini aniqlashdi. Noto‘g‘ri avtorizatsiya va callback ishlov berilishi hujumchiga himoya choralarini chetlab o‘tish imkonini berdi, bu esa o‘zaro bog‘langan likvidlik poollari o‘rtasida ruxsatsiz Swap yoki balans manipulyatsiyasini amalga oshirishga olib keldi va bir necha daqiqa ichida aktivlarni tezda o‘g‘irlashga imkon berdi.

Mavjud ma’lumotlarga ko‘ra, hech qanday private key sizib chiqishi aniqlanmadi, bu to‘liq smart-kontraktdagi zaiflikdir.

Audit tashkiloti kebabsec auditori, citrea ishlab chiquvchisi @okkothejawa ham postida shunday dedi: "(@moo9000 tomonidan tilga olingan tekshiruv xatosi) ehtimol asosiy sabab emas, chunki barcha 'manageUserBalance' chaqiruvlarida ops.sender == msg.sender. Xavfsizlik zaifligi, ehtimol, aktivlarni yechib olish kontrakti yaratilishidan oldingi tranzaksiyada yuzaga kelgan, chunki bu Balancer vaultidagi ba’zi holat o‘zgarishlariga olib kelgan."

Balancer rasmiylari ham quyidagicha javob berdi: "Rasmiy jamoa Balancer v2 poollariga ta’sir qiluvchi potentsial zaiflikdan xabardor. Muhandislik va xavfsizlik jamoamiz tergovni yuqori ustuvorlik bilan olib bormoqda. Qo‘shimcha ma’lumotga ega bo‘lishimiz bilan, tasdiqlangan yangilanish va keyingi qadamlarni darhol baham ko‘ramiz."

Potentsial aktivlar yo‘qotilishi xavfi mavjud bo‘lgan Berachain ham zudlik bilan o‘z javobini berdi. Berachain Foundation postidan so‘ng, Berachain asoschisi Smokey The Bera quyidagicha bayonot berdi: "Bera node guruhi BEX (asosan USDe uch pool)ga ta’sir qiluvchi Balancer zaifligini oldini olish uchun public chain ishini ixtiyoriy to‘xtatdi.

· Ethena jamoasiga Bera bridge’ni o‘chirib qo‘yishni buyurish

· Kredit bozori uchun USDe depozitlarini o‘chirish/to‘xtatish

· HONEY tokenini mint qilish va almashtirishni to‘xtatish

· CEX va boshqalar bilan hamkorlik qilib, xaker manzillarini qora ro‘yxatga kiritishni ta’minlash

Maqsadimiz mablag‘larni imkon qadar tezroq qaytarish va barcha LP’larning xavfsizligini ta’minlash. Berachain jamoasi tayyor bo‘lgach, tegishli node validatorlari va xizmat ko‘rsatuvchi provayderlarga binary fayllarni chiqaradi (bu poolda native bo‘lmagan aktivlar mavjudligi sababli, ba’zi slotlarni qayta tuzish va boshqalar talab qilinadi, faqat Bera token balansini o‘zgartirish emas)."

Balancer o‘g‘irlanishi: eng ko‘p xavotirga tushganlar — kripto kitlar

Klassik DeFi protokoli sifatida, Balancer foydalanuvchilari ushbu o‘g‘irlik voqeasidan eng ko‘p zarar ko‘rganlar bo‘ldi. Hozirgi foydalanuvchilar uchun quyidagilarni qilish tavsiya etiladi:

· Balancer v2 poolidan mablag‘larni yechib olish, zarar kengayishini oldini olish;

· Avtorizatsiyani bekor qilish: Revoke, DeBank yoki Etherscan orqali Balancer manzilining smart-kontrakt ruxsatlarini bekor qilish, potentsial xavfsizlik xatarlaridan saqlanish;

· Diqqat bilan kuzatib borish: Balancer hujumchisining keyingi harakatlarini va boshqa DeFi protokollariga zanjirli ta’sir ko‘rsatish ehtimolini diqqat bilan kuzatish.

Bundan tashqari, ushbu o‘g‘irlik voqeasida 3 yil davomida faol bo‘lmagan kripto kit bozor e’tiborini tortdi.

LookonChain monitoringiga ko‘ra, 3 yil davomida uxlab yotgan kripto kit 0×0090 Balancer platformasidagi zaiflikdan so‘ng uyg‘ondi va o‘zining 6.5 million dollarlik aktivlarini Balancer’dan tezda yechib olishga harakat qildi.

Keyingi rivojlanish: xaker tokenlarni almashtirish rejimini boshladi

Zanjirdagi tahlilchi Yu Jin monitoringiga ko‘ra, Balancer o‘g‘irligi xakeri ko‘plab likvid staking tokenlarini (LST) ETH ga almashtirishga harakat qilmoqda, ilgari u 10 osETH ni 10.55 ETH ga almashtirgan edi.

Zanjirdagi ma’lumotlarga ko‘ra, xaker Cow Protocol orqali turli zanjirlardagi o‘g‘irlangan aktivlarni ETH, USDC va boshqa aktivlarga doimiy ravishda almashtirmoqda. Hozircha, ushbu o‘g‘irlangan aktivlarni qaytarib olish umidi juda past.

Keyingi bosqichda, Balancer protokol kontrakti zaifligini o‘z vaqtida aniqlab, o‘g‘irlangan aktivlarni tezda qaytarib olish yoki tegishli yechim taklif qila oladimi, Odaily kuzatishda davom etadi.