Хакери вкрали понад $120 мільйонів з протоколу DeFi Balancer

Хакери використали вразливість у V2 пулах Balancer, що призвело до втрат понад $120 мільйон.

Атака включала в себе помилку округлення з точністю або несанкціоновану маніпуляцію контрактом під час викликів сховища.

Фішингові шахрайства з'явилися після злому, намагаючись обманути хакера, щоб він повернув викрадені кошти.

Balancer, децентралізована фінансова (DeFi) платформа, підтвердила, що хакери експлуатували її V2 пули, що призвело до порушення на суму понад $120 мільйон. Інцидент, який націлювався на компостовані стабільні пули протоколу V2, став одним із найбільших атак на DeFi протокол цього року. Поки Balancer продовжує розслідування інциденту, він застеріг користувачів від потенційних шахрайств, пов'язаних з атакою.

Деталі атаки та метод

Атака сталася о 7:48 ранку за всесвітнім часом (UTC), коли хакери використали вразливість у системі V2 Vault Balancer. За даними GoPlus Security, експлуатація виникла через помилку округлення точності у розрахунках свопів платформи. Ці помилки викликали незначні розбіжності в кількостях токенів під час свопів, які нападники використали на свою користь. Зв'язуючи кілька свопів через функцію batchSwap, хакери змогли створити масштабні спотворення цін.

Ще одне пояснення експлуатації вказує на неналежну авторизацію та обробку зворотних викликів у сховищах Balancer V2. Експерт з безпеки Адitya Bajaj зазначив, що шкідливий контракт маніпулював викликами сховища під час ініціалізації пулу. Це дозволило несанкціоновані обміни та маніпуляції з балансами в міжпов'язаних пулах, обминаючи запобіжники протоколу. Незважаючи на ці різні пояснення, Balancer ще не підтвердив точний метод атаки. Однак компанія працює з провідними дослідниками безпеки, щоб оцінити порушення та зрозуміти його повний обсяг.

Викрадення було виключно обмежене пулами V2 Balancer і не досягло інших пулів, таких як V3. Команда спілкувалася через свої канали і обіцяла провести розслідування. Balancer вже висловився з цього питання і пообіцяв звіт після розслідування, коли воно завершиться. Хоча Balancer підлягав аудиту 11 разів з 2021 року з різними рівнями перевірки, експлойт все ж знайшов спосіб обійти ці аудити. Інцидент змушує задуматися про обмеження поточних заходів безпеки, що застосовуються до протоколів DeFi.

Фішингові шахрайства, що націлені на Хакер

Після атаки з'явилося оманливе повідомлення, що мало на меті ввести в оману хакера, щоб той повернув вкрадені гроші. Повідомлення, яке видавалося за Balancer, пропонувало хакеру “бонус для білих хакерів” у розмірі 20% від вкрадених коштів за повернення решти суми. Шахрай використовував загрози блокчейну, щоб змусити хакера підкоритися. Balancer попередив своїх користувачів, сказавши, що мала місце спроба фішингу, і вони повинні бути дуже обережними.

Подія атаки на Balancer дає чітке уявлення про безпекові виклики, з якими сфера DeFi стикнеться в майбутньому через постійні зміни в динаміці безпеки. Однак цей хак не був пов'язаний з жодною конкретною групою; проте повідомляється, що за кількома крадіжками в DeFi цього року стоять хакери з Північної Кореї.

В цілому, понад $2 мільярдів вартості криптовалют було пов'язано з крадіжками Північної Кореї, і, отже, платформи DeFi продовжують страждати від величезних проблем із безпекою. Наразі Balancer перебуває в процесі забезпечення своєї платформи та зупинки будь-яких подальших експлуатацій. Більше інформації про витік, а також вжиті заходи буде розкрито після завершення розслідування.