Το Πρωτόκολλο Balancer ανακοίνωσε ότι οι χάκερ είχαν βάλει στο στόχαστρο τα v2 pools του, με απώλειες σύμφωνα με πληροφορίες που υπολογίζονται σε περισσότερα από 128 εκατομμύρια δολάρια.
Το Balancer είναι ένα πρωτόκολλο αποκεντρωμένης χρηματοδότησης (DeFi) που βασίζεται στο blockchain Ethereum ως αυτοματοποιημένος διαπραγματευτής αγοράς και επίπεδο υποδομής ρευστότητας.
Παρέχει ευέλικτες ομάδες με προσαρμοσμένα μείγματα διακριτικών, επιτρέποντας στους χρήστες να καταθέτουν περιουσιακά στοιχεία, να κερδίζουν τέλη και να επιτρέπουν στους εμπόρους να ανταλλάσσουν περιουσιακά στοιχεία και διέπεται από το διακριτικό BAL, το οποίο είχε χρηματιστηριακή αξία 65 εκατομμυρίων δολαρίων ακριβώς πριν το συμβάν.
Η Balancer δεν μοιράστηκε πολλές λεπτομέρειες σχετικά με το περιστατικό, αλλά προειδοποίησε τους χρήστες να είναι προσεκτικοί έναντι πιθανών απατών ή απόπειρων phishing.
Η Balancer επιβεβαίωσε σήμερα ότι ένα exploit επηρέασε τις V2 Compostable Stable Pools στις 7:48 π.μ. UTC και ότι το ζήτημα δεν επηρεάζει άλλες ομάδες Balancer, συμπεριλαμβανομένου του V3.
“Η ομάδα μας συνεργάζεται με κορυφαίους ερευνητές ασφαλείας για να κατανοήσει το ζήτημα”, ο είπε η εταιρεία σε ενημέρωση πριν από λίγες ώρες.
Σύμφωνα με GoPlus Securityη εκμετάλλευση του Balancer V2 προήλθε από ένα σφάλμα στρογγυλοποίησης ακριβείας στους υπολογισμούς ανταλλαγής του Vault.
Κάθε πράξη ανταλλαγής στρογγυλοποιούσε προς τα κάτω τα συμβολικά ποσά, δημιουργώντας μικροσκοπικές αποκλίσεις τις οποίες ο εισβολέας μπορούσε επανειλημμένα να εκμεταλλευτεί. Με την αλυσίδα πολλαπλών ανταλλαγών μέσω της συνάρτησης batchSwap, αυτές οι ζημίες στρογγυλοποίησης επιδεινώθηκαν σε μεγάλη στρέβλωση της τιμής.
Πηγή: GoPlus Security
Ωστόσο, άλλοι χρήστες που ισχυρίζονται ότι γνωρίζουν τι συνέβη αποδίδουν το hack σε ακατάλληλη εξουσιοδότηση και χειρισμό επανάκλησης εντός των θυρίδων V2 του Balancer.
Σύμφωνα με Aditya Bajajένα κακόβουλα αναπτυγμένο συμβόλαιο χειραγώγησης κλήσεων θησαυροφυλάκιο κατά την προετοιμασία της πισίνας, παρακάμπτοντας ουσιαστικά τις διασφαλίσεις και επιτρέποντας μη εξουσιοδοτημένες ανταλλαγές και χειρισμούς ισορροπίας μεταξύ διασυνδεδεμένων πισινών.
Αν και δεν υπάρχει ακόμη συμφωνία για τη μέθοδο επίθεσης, ο Balancer υποσχέθηκε να μοιραστεί περισσότερες λεπτομέρειες σχετικά με το hack “και μια πλήρη μεταθανάτια εξέταση το συντομότερο δυνατό”.
Αξίζει να σημειωθεί ότι το Balancer V2 έχει ελέγχθηκε 11 φορές από το 2021με ποικίλο εύρος εξέτασης.
Προσπάθεια εξαπάτησης του χάκερ
Εν τω μεταξύ, φαίνεται ότι κάποιος προσπάθησε να εκμεταλλευτεί την κατάσταση υποδυόμενος τον Balancer και προσφέροντας στον χάκερ μια «δωρεά λευκού καπέλου» ύψους 20% του κλεμμένο ποσό εάν συμφωνούσαν να επιστρέψουν τα υπόλοιπα κεφάλαια σε συγκεκριμένη διεύθυνση.
Το μήνυμα ηλεκτρονικού ψαρέματος είναι καλογραμμένο και ελέγχει τα κόλπα για να φαίνεται αξιόπιστο, συμπεριλαμβανομένης της ανταμοιβής, μιας προθεσμίας και μιας απειλής, όλα μέρος μιας διαπραγμάτευσης που πιέζει για άμεση συνεργασία.
Εάν ο χάκερ αρνηθεί τη συμφωνία, ο απατεώνας που υποδύεται τον Balancer απειλεί να χρησιμοποιήσει όλες τις πληροφορίες που έχει από εμπειρογνώμονες εγκληματολογίας του blockchain, υπηρεσίες επιβολής του νόμου και ρυθμιστικούς εταίρους για να εντοπίσει και να διώξει τον εισβολέα.
“Οι συνεργάτες μας έχουν υψηλό βαθμό εμπιστοσύνης ότι θα αναγνωριστείτε από τα μεταδεδομένα καταγραφής πρόσβασης που συλλέγονται από την υποδομή μας, υποδεικνύοντας συνδέσεις από ένα καθορισμένο σύνολο διευθύνσεων IP/ASN και σχετικές χρονικές σημάνσεις εισόδου που συσχετίζονται με τη δραστηριότητα συναλλαγών στην αλυσίδα.” ολοκληρώνει το δόλιο μήνυμα.
Η εισβολή Balancer είναι μία από τις μεγαλύτερες ληστείες κρυπτονομισμάτων το 2025. Αν και δεν υπάρχει καμία αναφορά, η μεγαλύτερη απειλή για τις οντότητες του DeFi είναι οι βορειοκορεάτες χάκερ.
Από τις 3 Οκτωβρίου, το ποσό των κρυπτονομισμάτων που συνδέονται με κλοπές στη Βόρεια Κορέα φέτος είχε ξεπεράσει τα 2 δισεκατομμύρια δολάρια, με το μεγαλύτερο μακράν να είναι η επίθεση Bybit τον Φεβρουάριο, όταν έκλεψαν 1,5 δισεκατομμύρια δολάρια σε κρυπτονομίσματα.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
Related Posts
Ψεύτικοι ισχυρισμοί θανάτου του LastPass που χρησιμοποιούνται για την παραβίαση των θυρίδων κωδικών πρόσβασης
Το Ηνωμένο Βασίλειο επιβάλλει πρόστιμα στο LastPass για παραβίαση δεδομένων το 2022 που επηρεάζει 1,6 εκατομμύρια χρήστες
Το Crypto Arm της Société Générale φέρνει σταθερά νομίσματα ευρώ και δολαρίων στο DeFi
