Balancer визначає основну причину $116m злома

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer виявив технічну кореневу причину недавнього зламу, який потряс його платформу.
Резюме

• Balancer визначив помилку округлення у своїй функції “upscale” як причину експлойти, що зняла активи з кількох мереж.
• Злочинці викрали понад $116 мільйонів доларів, збитки торкнулися Ethereum, Arbitrum, Base та Polygon, хоча StakeWise відновив $19 мільйон osETH для постраждалих користувачів.
• Тривають заходи з відновлення, протокол і партнери заморожують уразливі пули, відстежують викрадені кошти та готують остатній звіт про звірку активів.

Децентралізований фінансовий протокол Balancer визначив внутрішню помилку у логіці округлення функції “upscale” як основну причину експлойти 3 листопада, що зняла понад $116 мільйонів доларів з його платформи. Згідно з оприлюдненим попереднім звітом, ця функція, яка використовується під час обміну токенів, була використана зловмисниками на кількох мережах, що призвело до швидких втрат WETH, osETH та wstETH у кількох транзакціях.

Зловмисники скористалися тим, як код обробляв нецілісні коефіцієнти масштабування, щоб маніпулювати балансами пулів і зливати цінність. Balancer повідомив, що цей злом дозволив хакерам тихо переміщати кошти всередині сейфів перед остаточним виведенням.

Загалом, станом на завершення, було викрадено $116,6 мільйонів, збитки охоплювали кілька активів і мереж, включаючи Ethereum, Arbitrum, Base та Polygon. Серед викрадених токенів найбільші суми становили 6 587 WETH, 6 851 osETH і 4 260 wstETH, що було раніше повідомлено та підтверджено у звіті про інцидент.

StakeWise, один із постраждалих протоколів, зміг відновити майже $19 мільйонів доларів у вигляді osETH, що становить близько 73,5% від загальної суми, викраденої для цього активу. Ці кошти будуть повернені постраждалим користувачам відповідно до їхніх балансів до зламу, хоча зловмисник також конвертував деякі активи у ETH, що зробило їх невідновлюваними.

Дії з відновлення Balancer

Balancer та його партнерські служби безпеки все ще проводять аудит інциденту та звірку втрачених коштів, зусилля з пом’якшення та відновлення тривають. Після експлойти служби безпеки призупинили всі уразливі пули, заборонили створення нових пулів і припинили нагороди для будь-яких пулів, визначених як уразливі, згідно з офіційним звітом про інцидент.

Кілька команд у ширшому просторі DeFi також вжили заходів для обмеження збитків і стримування руху зловмисників. Протоколи, такі як Sonic Labs, здійснили екстрене замороження рахунків, пов’язаних із зломом, а валідатори Berachain тимчасово зупинили свою мережу, щоб запобігти переміщенню коштів. Інші партнери, як Monerium і Gnosis, запровадили контролі для заморожування або блокування активів у рамках скоординованої зупинки.

Команди Whitehat і підтримуючі боти перехоплювали транзакції для повернення активів, деяким вдалося повернути сотні тисяч доларів. Зусилля здійснювалися як автоматизованими системами, так і ручним відстеженням, створюючи багаторівневий підхід до відновлення активів.

Balancer зазначив, що після перевірки всіх уразливих пулів і транзакцій буде опубліковано остатній звіт із підтвердженими сумами та статусом відновлень. До того часу користувачам рекомендується уникати уразливих контрактів і слідкувати за оновленнями через офіційні канали, оскільки тривають додаткові перевірки та звірки.