Z Balancer skradziono ponad 120 milionów – co powinieneś zrobić?

Chainfeeds Wprowadzenie:

Obecnie całkowita skradziona kwota wynosi 128.64 milionów dolarów, atak wciąż trwa.

Źródło artykułu:

Foresight News

Opinia:

Foresight News: 3 listopada po południu, uznany protokół DeFi Balancer padł ofiarą poważnego ataku związanego z luką bezpieczeństwa. Atakujący, manipulując kluczowym smart kontraktem protokołu, w ciągu zaledwie kilku godzin przenieśli z wielu pul płynności aktywa kryptowalutowe o wartości przekraczającej 110 milionów dolarów, bezpośrednio transferując środki ze skarbca Balancer do kontrolowanego portfela. Według danych DeBank, w ekosystemie Ethereum skradziono aż 99.85 milionów dolarów, na łańcuchu Arbitrum straty wyniosły 7.95 milionów dolarów, na Base skradziono 3.94 milionów dolarów, na Sonic około 3.4 milionów dolarów, a na Optimism 1.56 milionów dolarów. Zgodnie z wynikami śledztwa SlowMist, całkowita skradziona kwota wzrosła do 128.64 milionów dolarów, uwzględniając dodatkowe 12.86 milionów dolarów z ekosystemu Berachain. W wyniku tego zdarzenia cena BAL spadła do około 0.9 dolara, notując ponad 8% spadku w ciągu 24 godzin. Po incydencie, oficjalny zespół Berachain zawiesił mintowanie HONEY oraz funkcje puli BEX i skarbca, a także skoordynował węzły walidujące w celu zatrzymania działania sieci, by umożliwić zespołowi wykonanie awaryjnego hard forka i naprawę luki związanej z Balancer V2. Po ogłoszeniu wiadomości, nieaktywny od trzech lat adres wieloryba 0x0090 natychmiast wycofał środki z Balancer, co pokazuje szybkie rozprzestrzenianie się paniki. To zdarzenie nie tylko ujawniło fundamentalne braki w kontroli dostępu w Balancer V2, ale także sprawiło, że architektura wdrożeń cross-chain stała się zapalnikiem zwiększającym ryzyko, obejmującym sieci takie jak Ethereum, Base, Polygon, Sonic i inne. W chwili publikacji atak wciąż trwa, a zespoły bezpieczeństwa próbują zamrozić powiązane adresy. Balancer powstał w 2020 roku, opracowany przez Balancer Labs, i jest jednym z kluczowych protokołów AMM (Automated Market Maker) w początkowym ekosystemie DeFi, wyróżniającym się możliwością tworzenia konfigurowalnych pul płynności z wieloma aktywami. W przeciwieństwie do mechanizmu pojedynczych aktywów w Uniswap, Balancer pozwala użytkownikom ustalać różne kombinacje wag aktywów, zwiększając efektywność wykorzystania kapitału. Wersja V2, wprowadzona w 2021 roku, dodała Boosted Pools i system Vault, mając na celu kierowanie nieaktywnych środków z puli do kanałów generujących zyski, zmniejszenie poślizgu i zwiększenie efektywności. Jednak ta złożona architektura zwiększyła również ryzyko związane z kontrolą dostępu i zależnościami zewnętrznymi. Analizy wskazują, że główną przyczyną ataku była awaria kontroli dostępu w kontrakcie skarbca. Atakujący wykorzystali mechanizm flash loan, fałszując uprawnienia do wyciągnięcia aktywów z Boosted Pools, omijając kontrolę autoryzacji i bezpośrednio transferując środki na zewnętrzny adres 0xAa760D53541d8390074c61DEFeaba314675b8e3f. Dane on-chain (hash transakcji 0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) pokazują, że atak obejmował wiele transferów w ciągu kilku minut, dotyczących takich głównych pochodnych ETH jak WETH, osETH, wstETH, frxETH, rsETH, rETH. Ten sposób wykorzystania luki jest podobny do incydentu Nomad Bridge z 2022 roku, gdzie również doszło do obejścia logiki kontroli dostępu. Architektura cross-chain Balancer sprawiła, że zakres szkód był szerszy, a straty większe. To zdarzenie nie jest odosobnione, lecz stanowi kulminację długoletnich problemów z bezpieczeństwem Balancer. Od czasu uruchomienia V2 w 2021 roku, protokół przeszedł wiele audytów, testów fuzzingowych i formalnych weryfikacji, ale nadal regularnie ujawnia luki. W czerwcu 2021 roku z powodu problemów ze smart kontraktem stracono 500 tysięcy dolarów, w sierpniu 2023 roku atak DNS przyniósł straty 270 tysięcy dolarów, a w październiku 2025 roku doszło do mniejszego incydentu związanego z manipulacją „rate providers”. Liczne incydenty pokazują, że Balancer jest strukturalnie podatny na słabości w kontroli dostępu i zależnościach zewnętrznych. Ten atak skłania do ponownego przemyślenia ryzyka związanego ze starzejącymi się protokołami DeFi — kod bazowy działający od lat i często forkujący w złożonym środowisku multi-chain staje się łatwym celem dla hakerów. Hasu, dyrektor strategii Flashbots i doradca Lido, napisał: „Od czasu uruchomienia Balancer V2 w 2021 roku, jest to jeden z najczęściej forkowanych smart kontraktów. Za każdym razem, gdy taki kluczowy protokół zostaje złamany, cały sektor DeFi cofa się w rozwoju o 6 do 12 miesięcy.” Obecnie zespół Balancer potwierdził istnienie luki w pulach V2 i współpracuje z firmami zajmującymi się bezpieczeństwem w celu zbadania incydentu.