Nuovo crollo nel DeFi! Balancer ha subito un furto di oltre 116 milioni di dollari e le perdite continuano ad aumentare!

Intorno alle 15:48 (GMT+8) del 3 novembre, una piattaforma di monitoraggio on-chain ha improvvisamente rilevato che l’indirizzo del vault di Balancer, un protocollo DeFi di lunga data, aveva effettuato un trasferimento anomalo di grande entità.

Secondo Etherscan, sono stati trasferiti verso un wallet esterno asset multi-chain tra cui 6.587 WETH (circa 24,5 milioni di dollari), 6.851 osETH (circa 26,9 milioni di dollari) e 4.260 wstETH (circa 19,3 milioni di dollari).

Diversi analisti on-chain ritengono che si tratti probabilmente di uno sfruttamento di una vulnerabilità o di un prelievo non autorizzato, piuttosto che di una normale migrazione di liquidità. Diversi fornitori di analisi blockchain, tra cui Nansen, hanno già contrassegnato queste transazioni come sospette.

Secondo il monitoraggio dell’agenzia di sicurezza blockchain PeckShield, l’attacco è continuato su reti multi-chain come Ethereum.

Alle 16:48 (GMT+8), l’indirizzo dell’attaccante (0x54B5…30d) ha completato un’altra transazione chiamando la funzione 0x8a4f75d6, e Lookonchain ha confermato che la perdita totale ha superato i 116 milioni di dollari.

Mikko Ohtamaa, co-fondatore di Trading Strategy, ha sottolineato che un’analisi preliminare indica che la causa della vulnerabilità risiede in un difetto del meccanismo di controllo degli smart contract. Sebbene non tutte le versioni di Balancer siano interessate, se i fork della vecchia V2 presentano la stessa vulnerabilità, la perdita totale potrebbe aumentare ulteriormente.

La sicurezza DeFi resta una sfida

Questa non è la prima volta che Balancer affronta problemi di sicurezza.

• Già nel 2020, il protocollo aveva subito una perdita di circa 500.000 dollari a causa della mancata considerazione del comportamento particolare dei token con “tassa sul trasferimento”, consentendo agli attaccanti di manipolare gli asset del pool tramite flash loan.

• Ad agosto 2023, è stata scoperta una vulnerabilità nel Boosted Pool di Balancer V2; nonostante l’avviso ufficiale, si è verificato un attacco con una perdita di circa 1 milione di dollari.

• Nello stesso settembre, il dominio frontend di Balancer è stato vittima di un attacco DNS hijacking, causando una perdita totale di quasi 240.000 dollari dopo che gli utenti hanno firmato transazioni su un sito di phishing.

Oggi, questa nuova ondata di attacchi riporta ancora una volta il tema della sicurezza DeFi sotto i riflettori. Dalla progettazione dei contratti al deployment del frontend, dalla logica dei pool di liquidità alla gestione degli asset cross-chain, le sfide di sicurezza per Balancer sembrano non essere mai state realmente risolte.

Inoltre, Balancer è un protocollo hub di liquidità: se succede qualcosa a lui, non è solo un problema per sé stesso. Gli LP bloccati, gli aggregatori che dipendono da lui, i pool di asset, i Vault strategici… tutti ne risentono.

Il mondo DeFi si basa sul principio del “trustless”, ma di fronte a ripetuti exploit, in cosa possono davvero fidarsi gli utenti? Dopo cinque anni di sviluppo, la DeFi non è più un gioco per pochi geek, ma un’infrastruttura finanziaria che gestisce miliardi di dollari. Purtroppo, anche i protocolli di punta come Balancer non riescono a sfuggire al destino di vecchie ferite mai guarite e nuove che si aggiungono.

La risposta di Balancer dopo due ore

Alle 17:50 (GMT+8), circa due ore dopo l’evento, Balancer ha aggiornato il suo account ufficiale su Twitter: è stata individuata una vulnerabilità che potrebbe interessare i pool di Balancer v2. I nostri team di ingegneria e sicurezza stanno indagando con la massima priorità e, non appena avremo ulteriori informazioni, condivideremo immediatamente aggiornamenti e i prossimi passi confermati.

Bitpush sta continuando a monitorare lo sviluppo dell’evento e vi aggiorneremo tempestivamente con le ultime novità. Restate sintonizzati.