Utnyttelse av Balancer
Den automatiserte markedsmakeren Balancer ble utsatt for et stort utnyttelse tidlig mandag, noe som resulterte i at digitale eiendeler verdt anslagsvis 128 millioner dollar ble stjålet på tvers av flere blokkjeder. Som et resultat har det nye nettverket Berachain blitt tvunget til å stoppe sin blokkjede og planlegger en nød-hard fork for å løse problemet.
Sårbarhet i Balancer V2
Balancer tilbød sine tjenester på tvers av flere kjeder – inkludert Ethereum, Arbitrum og Base – og alle som brukte Balancer V2 var sårbare for angrepet. I tillegg har mange protokoller brukt dens kodebase til å bygge sine egne produkter, som også lider av den samme sårbarheten.
Utnyttelsen kom sannsynligvis som et resultat av en «liten presisjons-/avrundingsfeil» funnet i Balancer V2 likviditetspooler, fortalte on-chain analysefirma Nansen til Decrypt. Angriperen utnyttet poolene ved å manipulere avrundingsfeilen via flere bytter innen en enkelt transaksjon.
«Med BPT-prisen deprimert, byttet angriperen inn i eller mintet BPT til den deflaterte verdien. De konverterte umiddelbart disse (underprissatte) BPT tilbake til underliggende eiendeler og deretter til ETH, og tok forskjellen i lommen,» sa Nansen Research Analyst Nicolai Sondergaard til Decrypt.
Konsekvenser av angrepet
Sikkerhetsekspertene Cyvers og PeckShield anslår begge at de totale tapene er verdt omtrent 128 millioner dollar. Nansen anslo tallet til å være nærmere 100 millioner dollar, et beløp som synker ettersom tokenpriser faller i takt med et bredere markedsfall. De stjålne midlene ble deretter sendt gjennom flere forskjellige adresser og byttet på desentraliserte børser.
Balancer har anerkjent utnyttelsen og bekreftet at problemet er isolert til Balancer V2 Composable Stable Pools spesifikt – noe som betyr at V3-pooler forblir upåvirket. Prosjektet jobber nå med «ledende sikkerhetsforskere» for å lage en fullstendig postmortem av hendelsen.
Balancers BAL-token har falt med mer enn 11 % på dagen, til en markedsverdi på 56 millioner dollar, ifølge CoinGecko.
«[Det er] sannsynligvis det verste bak oss på dette punktet, da det ikke ser ut til at utnytteren trekker ut flere midler,» sa Sondergaard.
Berachains respons
Som et resultat av angrepet koordinerte Berachain-validerne for å stoppe blokkjeden, med planer om å utføre en nød-hard fork for å rulle tilbake kjeden til sin tilstand før utnyttelsen. Dette er fordi Berachains native desentraliserte børs er bygget på den samme sårbare kodebasen som Balancer V2, fortalte Cyvers til Decrypt. Det forklarer hvorfor Berachain ble rammet så hardt, med anslagsvis 12,86 millioner dollar i tap.
«Gitt at det påvirket ikke-native eiendeler (ikke bare BERA), involverer tilbakeføringen/videreføringen mer enn en enkel hard fork,» sa Berachain Foundation i en kunngjøring, og forklarte hvorfor blokkjeden ble stoppet i mellomtiden.
Denne avgjørelsen er svært omstridt blant kryptoentusiaster som tror på uforanderligheten av blokkjeder. For mange hardbarkrypto-troende går det imot alt krypto står for å forke en kjede og angre transaksjoner. Ethereum rullet berømt tilbake sin blokkjede via en hard fork etter det berømte hack av The DAO i 2016, som førte til at 50 millioner dollar i ETH ble stjålet.
«Jeg er sikker på at noen ikke vil være glade for dette, og vi erkjenner at dette kan bli sett på som en omstridt beslutning,» skrev den pseudonyme Berachain-grunnleggeren og CSO Smokey the Bera på X. «Brukere og LP-er på nettverket er alltid vår prioritet, og når omtrent 12 millioner dollar av brukerfond er i fare fra en ondsinnet angriper, forsøkte vi å koordinere validatorsettet for å beskytte disse brukerne.»
«Målet er å gjenvinne midler så raskt som mulig og sikre at alle LP-er er trygge,» la Smokey til. Berachains token har også falt nesten 10 % på dagen, til en markedsverdi på 211 millioner dollar, ifølge CoinGecko.
