DeFi muling nagkaroon ng malaking insidente! Mahigit 116 million USD ang nanakaw mula sa Balancer, at patuloy pang lumalaki ang pagkalugi!

Bandang 3:48PM sa East 8th District noong Nobyembre 3, biglang napansin ng on-chain data monitoring platform na ang treasury address ng Balancer, isang matagal nang DeFi protocol, ay nagkaroon ng kakaibang malalaking transaksyon.

Ipinapakita ng Etherscan na kabilang sa mga nailipat na multi-chain assets papunta sa external wallet ay 6,587 WETH (humigit-kumulang $24.5 milyon), 6,851 osETH (humigit-kumulang $26.9 milyon), at 4,260 wstETH (humigit-kumulang $19.3 milyon).

Ilang on-chain analyst ang naniniwala na ito ay posibleng isang pag-exploit ng vulnerability o hindi awtorisadong withdrawal, at hindi isang regular na liquidity migration. Ilang blockchain analysis provider kabilang ang Nansen ay minarkahan na rin ang mga transaksyong ito bilang kahina-hinalang transaksyon.

Ayon sa monitoring ng blockchain security firm na PeckShield, patuloy ang pag-atake sa Ethereum at iba pang multi-chain networks.

Hanggang bandang 4:48PM sa East 8th District, ang address ng attacker (0x54B5…30d) ay nakumpleto ang isa pang transaksyon sa pamamagitan ng pagtawag sa function 0x8a4f75d6, at kinumpirma ng Lookonchain na ang kabuuang pagkawala ay lumampas na sa $116 milyon.

Itinuro ni Trading Strategy co-founder Mikko Ohtamaa na ang paunang pagsusuri ay nagpapakita na ang ugat ng vulnerability ay isang depekto sa smart contract checking mechanism. Bagaman hindi lahat ng bersyon ng Balancer ay apektado, kung ang lumang V2 fork ay may parehong vulnerability, maaaring tumaas pa ang kabuuang pagkawala.

Patuloy na Hamon ang DeFi Security

Hindi ito ang unang beses na nakaranas ng isyu sa seguridad ang Balancer.

• Noong 2020 pa lamang, nagkaroon na ng pagkawala ng humigit-kumulang $500,000 ang protocol dahil sa hindi pagsasaalang-alang sa kakaibang kilos ng mga token na may “transfer fee”, na nagbigay-daan sa attacker na manipulahin ang pool assets gamit ang flash loan.

• Noong Agosto 2023, natuklasan ang vulnerability sa Boosted Pool ng Balancer V2. Kahit may babala mula sa opisyal, nagkaroon pa rin ng pag-atake at nawala ang humigit-kumulang $1 milyon.

• Noong Setyembre ng parehong taon, na-hijack ang front-end domain ng Balancer sa pamamagitan ng DNS hijacking, at halos $240,000 ang nawala sa mga user matapos pumirma ng transaksyon sa phishing website.

Ngayon, muling itinulak ng pinakabagong pag-atake ang DeFi security issue sa sentro ng usapan. Mula sa disenyo ng contract hanggang sa front-end deployment, mula sa logic ng liquidity pool hanggang sa pamamahala ng cross-chain assets, tila hindi pa rin tunay na nareresolba ng Balancer ang mga hamon sa seguridad.

At dahil ang Balancer ay isang liquidity hub protocol, kapag nagkaproblema ito, hindi lang ito ang apektado. Pati ang mga LP na naipit, mga aggregator na umaasa rito, asset pool, at strategy vault… lahat ay nadadamay.

Sa DeFi world, mahalaga ang “trustless” na prinsipyo, ngunit sa harap ng sunod-sunod na pag-exploit ng vulnerabilities, ano nga ba talaga ang mapagkakatiwalaan ng mga user? Sa limang taon ng pag-unlad, hindi na lang ito laro ng mga geeks—DeFi ay naging pundasyon ng pananalapi na humahawak ng bilyon-bilyong pondo. Nakakalungkot, kahit ang mga nangungunang protocol tulad ng Balancer ay hindi pa rin nakakaligtas sa mga lumang problema at bagong pinsala.

Sumagot ang Balancer Pagkalipas ng Dalawang Oras

Bandang 17:50 sa East 8th District, dalawang oras matapos ang insidente, nag-update ang opisyal na Twitter ng Balancer: Natuklasan ang isang vulnerability na maaaring makaapekto sa Balancer v2 pool. Ang aming engineering at security team ay prayoridad na nagsisiyasat, at agad naming ibabahagi ang kumpirmadong update at mga susunod na hakbang kapag may karagdagang impormasyon.

Patuloy na sinusubaybayan ng Bitpush ang pag-usad ng insidente. Agad naming ibabahagi ang pinakabagong balita, kaya manatiling nakatutok.