Balancer xác định nguyên nhân gốc rễ của $116m tấn công

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer đã phát hiện nguyên nhân kỹ thuật đằng sau vụ hack gần đây đã làm rung chuyển nền tảng của họ.
Tóm tắt

• Balancer xác định lỗi làm tròn trong chức năng “upscale” là nguyên nhân của vụ khai thác đã rút sạch tài sản trên nhiều mạng lưới.
• Hơn $116 triệu đô đã bị đánh cắp, với thiệt hại trải dài trên Ethereum, Arbitrum, Base và Polygon, mặc dù StakeWise đã thu hồi được $19 triệu đô osETH cho người dùng bị ảnh hưởng.
• Nỗ lực khôi phục vẫn đang tiếp tục, khi giao thức và các đối tác đóng băng các pool dễ bị tổn thương, truy tìm các khoản tiền bị đánh cắp và chuẩn bị báo cáo cuối cùng về đối chiếu tài sản.

Giao thức DeFi Balancer đã xác định một lỗi nội bộ trong logic làm tròn của chức năng “upscale” là nguyên nhân gốc rễ của vụ khai thác ngày 3 tháng 11, đã rút sạch hơn $116 triệu đô khỏi nền tảng của họ. Theo một báo cáo sơ bộ mới công bố, chức năng này, được sử dụng trong quá trình trao đổi token, đã bị các hacker khai thác trên nhiều mạng lưới, dẫn đến mất mát nhanh chóng các token WETH, osETH và wstETH trong nhiều giao dịch.​

Các hacker lợi dụng cách mã xử lý các hệ số tỷ lệ không nguyên để thao túng số dư pool và rút sạch giá trị. Balancer tiết lộ rằng lỗ hổng này cho phép hacker di chuyển tài sản một cách lặng lẽ trong các vault trước khi rút cuối cùng.

Tổng cộng, đã có hơn 116,6 triệu đô bị đánh cắp khi vụ việc được phát hiện, thiệt hại trải dài trên nhiều loại tài sản và mạng lưới, bao gồm Ethereum, Arbitrum, Base và Polygon. Trong số các token bị đánh cắp, lớn nhất gồm có 6.587 WETH, 6.851 osETH và 4.260 wstETH, như đã báo cáo và xác nhận trong báo cáo vụ việc.​

StakeWise, một trong các giao thức bị ảnh hưởng, đã thu hồi gần $19 triệu đô osETH, tương đương khoảng 73,5% tổng số tiền bị rút của loại tài sản này. Các khoản tiền này sẽ được hoàn trả cho người dùng bị ảnh hưởng theo số dư trước khi xảy ra hack, mặc dù hacker cũng đã chuyển đổi một số tài sản thành ETH, khiến chúng không thể lấy lại được.​

Balancer thực hiện các biện pháp khắc phục

Balancer và các đối tác an ninh của họ vẫn đang tiến hành kiểm tra vụ việc và đối chiếu các khoản tiền bị mất, với các nỗ lực giảm thiểu thiệt hại và khôi phục vẫn đang diễn ra. Sau vụ khai thác, các nhóm an ninh đã tạm dừng tất cả các pool bị ảnh hưởng, vô hiệu hóa việc tạo pool mới và ngừng thưởng cho bất kỳ pool nào được xác định là dễ bị tổn thương, theo báo cáo chính thức của dự án.

Một số nhóm trong cộng đồng DeFi cũng đã thực hiện các bước để hạn chế thiệt hại và kiểm soát các hoạt động của hacker. Các giao thức như Sonic Labs đã thực hiện phong tỏa khẩn cấp các tài khoản liên quan đến vụ hack, trong khi các validator của Berachain tạm thời dừng mạng để ngăn chặn dòng tiền di chuyển. Các đối tác khác như Monerium và Gnosis đã giới thiệu các biện pháp kiểm soát để đóng băng hoặc chặn tài sản như một phần của chiến dịch ngăn chặn phối hợp.​

Các nhóm whitehat và các bot hỗ trợ đã chặn các giao dịch để thu hồi tài sản, trong đó một số đã thành công trả lại hàng trăm nghìn đô la. Các nỗ lực này đến từ cả hệ thống tự động và theo dõi thủ công, xây dựng một phương pháp nhiều lớp để khôi phục tài sản.​

Balancer lưu ý rằng khi tất cả các pool và giao dịch bị ảnh hưởng được xác minh, một báo cáo cuối cùng sẽ được công bố với tổng số xác nhận và trạng thái khôi phục. Đến lúc đó, người dùng được khuyên tránh các hợp đồng bị ảnh hưởng và theo dõi các cập nhật qua các kênh chính thức, khi các cuộc rà soát và đối chiếu tiếp tục diễn ra.​