黑客從Balancer去中心化金融協議盜取超過$120 百萬

黑客利用了 Balancer 的 V2 池中的一個漏洞，導致超過 $120 百萬的損失。

此次攻擊涉及精確的舍入錯誤或在金庫調用中的未經授權的合約操控。

在數據泄露後，網絡釣魚詐騙相繼出現，試圖欺騙黑客歸還被盜資金。

Balancer，一個去中心化金融(DeFi)平台，已確認黑客利用其V2池進行攻擊，導致超過$120 百萬的損失。此次事件針對協議的V2可組合穩定池，標志着今年對DeFi協議的最大攻擊之一。盡管Balancer繼續調查此事件，但已警告用戶注意與此次攻擊相關的潛在詐騙。

攻擊詳情和方法

攻擊發生在協調世界時上午7:48，當時黑客利用了Balancer V2 Vault系統中的一個漏洞。根據GoPlus Security的說法，漏洞源於平台交換計算中的精度舍入錯誤。這些錯誤導致交換過程中代幣數量的輕微差異，黑客利用了這一點。通過在batchSwap函數中連結多個交換，黑客能夠制造大規模的價格扭曲。

另一個關於此次漏洞的解釋指向了Balancer V2保險庫內部的不當授權和回調處理。安全專家Aditya Bajaj指出，一個惡意合約在池初始化期間操控了保險庫調用。這使得未授權的交換和跨互聯池的餘額操控成爲可能，繞過了協議的保護措施。盡管有這些不同的解釋，Balancer尚未確認攻擊的確切方法。然而，該公司正在與領先的安全研究人員合作，以評估此次泄露並了解其全部範圍。

此次黑客攻擊僅限於Balancer的V2池，並未波及V3等其他池。團隊通過他們的渠道進行了溝通，並承諾進行調查。Balancer已經就此事發表了觀點，並承諾在調查結束後提供事後報告。盡管自2021年以來，Balancer已接受了11次審計，審計的嚴格程度各不相同，但這一漏洞仍然找到了繞過這些審計的方法。此次事件讓人思考當前DeFi協議安全措施的局限性。

針對黑客的網絡釣魚詐騙

在攻擊之後，出現了一條欺騙性的消息，意圖誤導黑客歸還被盜的資金。這條消息假冒Balancer，向黑客提供了20%被盜資金作爲"白帽賞金"以換取其餘金額的歸還。欺詐者利用區塊鏈的威脅來安撫黑客屈服。Balancer向其用戶發出警告，稱存在釣魚企圖，他們應該非常小心。

對Balancer攻擊事件的分析清晰地展示了DeFi領域未來將面臨的安全挑戰，因爲安全動態不斷變化。然而，這次黑客攻擊並沒有與任何特定團體關聯；不過，有報道稱朝鮮黑客今年參與了幾起DeFi盜竊案。

總的來說，超過 $2 億的加密貨幣與朝鮮盜竊有關，因此，DeFi 平台持續面臨巨大的安全問題。目前，Balancer 正在加固其平台並停止進一步的利用。關於此次漏洞的信息以及採取的措施將在調查結束後披露。