- Przeniesione aktywa obejmowały StakeWise Staked Ether (OSETH), Wrapped Ether (WETH) oraz Lido wstETH (wSTETH).
- We wrześniu 2023 roku Balancer padł ofiarą ataku phishingowego, w wyniku którego stracił około 238 000 dolarów.
- Oddzielny atak w sierpniu spowodował utratę prawie 1 miliona dolarów po wykryciu luki w pulach płynności Balancer.
Domniemany exploit obejmujący prawie 70 milionów dolarów w aktywach cyfrowych ponownie postawił Balancer, jedną z wiodących zdecentralizowanych giełd Ethereum, pod lupą.
Incydent ten ponownie rozbudził debatę na temat bezpieczeństwa zdecentralizowanych finansów (DeFi), gdzie przejrzystość i automatyzacja często współistnieją z głębokimi strukturalnymi podatnościami.
Pokazuje to również, jak kluczowe cechy DeFi, takie jak dostęp bez zezwoleń, otwarty kod źródłowy i kompozycyjne smart kontrakty, mogą szybko stać się obciążeniem, gdy są celem wykwalifikowanych atakujących.
Dla Balancer ten wyciek zwiększa rosnącą liczbę incydentów cybernetycznych, które przekształcają postrzeganie ryzyka w finansach cyfrowych i wywołują apele o silniejsze, skoordynowane zabezpieczenia w całym ekosystemie DeFi.
70 milionów dolarów w aktywach powiązanych z Etherem przetransferowanych do nowego portfela
Zapis na blockchainie na Etherscan pokazuje, że 70,9 miliona dolarów w aktywach zostało przeniesionych z pul płynności Balancer do nowo utworzonego portfela za pośrednictwem trzech transakcji.
Dane z firmy analitycznej Nansen wskazują, że przeniesione aktywa to 6 850 StakeWise Staked Ether (OSETH), 6 590 Wrapped Ether (WETH) oraz 4 260 Lido wstETH (wSTETH).
Analitycy on-chain zaczęli śledzić zachowanie portfela, zauważając podobieństwa do wcześniejszych schematów drenażu DeFi.
Firma zajmująca się bezpieczeństwem blockchain Cyvers poinformowała, że do 84 milionów dolarów podejrzanych transakcji na wielu łańcuchach może być powiązanych z Balancer.
Firma obecnie analizuje, czy transfery zostały skoordynowane poprzez luki w smart kontraktach, czy też ułatwione przez zewnętrzny exploit wykorzystujący przepływy płynności między protokołami.
Historia ataków na Balancer
We wrześniu 2023 roku strona internetowa protokołu została naruszona poprzez przejęcie systemu nazw domen (DNS), co przekierowało użytkowników do interfejsu phishingowego.
Hakerzy wdrożyli złośliwe smart kontrakty zaprojektowane do przechwytywania kluczy prywatnych i opróżniania środków, co według badacza blockchain ZachXBT doprowadziło do strat w wysokości około 238 000 dolarów.
Zaledwie miesiąc wcześniej, w sierpniu, Balancer zgłosił exploit stablecoina, który kosztował dostawców płynności prawie 1 milion dolarów.
Incydent ten miał miejsce krótko po tym, jak zespół ujawnił „krytyczną podatność” dotyczącą niektórych pul płynności, która została częściowo załatana, ale w określonych konfiguracjach nadal była możliwa do wykorzystania.
Nawracające incydenty w tak krótkim czasie sugerują, że otwarty charakter DeFi, choć sprzyja innowacjom, daje również atakującym ewoluujący plan działania do atakowania słabości protokołów.
Te naruszenia pokazują, że same audyty bezpieczeństwa są niewystarczające bez ciągłego monitorowania on-chain i systemów łagodzenia ryzyka w czasie rzeczywistym.
Paradoks bezpieczeństwa DeFi
Przypadek Balancer ilustruje paradoks tkwiący w sercu zdecentralizowanych finansów.
Usuwając pośredników, protokoły osiągają przejrzystość i autonomię, jednocześnie eliminując możliwość interwencji, gdy środki zostaną przywłaszczone.
W przeciwieństwie do scentralizowanych giełd, które mogą zamrozić lub cofnąć transakcje, protokoły DeFi działają na niezmiennych smart kontraktach.
Po wykorzystaniu luki straty są trwałe i zazwyczaj nie do odzyskania.
Ta strukturalna sztywność spotkała się z krytyką ze strony inwestorów instytucjonalnych, którzy postrzegają takie podatności jako przeszkody dla szerokiej adopcji.
W odpowiedzi niektóre projekty DeFi wprowadziły wielowarstwowe zabezpieczenia, takie jak zdecentralizowane pule ubezpieczeniowe, zaawansowane ramy audytowe i formalną weryfikację kodu kontraktów.
Jednak środki te pozostają niespójne w całym ekosystemie.
Powtarzające się problemy z bezpieczeństwem Balancer mogą zatem posłużyć jako studium przypadku, jak zachęty płynnościowe i kompozycyjność mogą zwiększać systemowe narażenie.
W miarę jak protokoły DeFi stają się coraz bardziej powiązane poprzez wspólne standardy tokenów i mosty międzyłańcuchowe, pojedynczy naruszony smart kontrakt może wywołać kaskadowe ryzyka finansowe na wielu platformach.
