„Balancer“ išleido preliminarią ataskaitą apie 128 mln. dolerių vertės ataką, aptikusią apvalinimo klaidą masinio keitimo operacijose
Trumpai
„Balancer“ praneša, kad saugumo incidentą, susijusį su jos „V2 Composable Stable Pools“, sukėlė techninis paketinio mainų projekto trūkumas, o dauguma pavogtų išteklių buvo susigrąžinti ir vyksta nuolatiniai atkūrimo darbai.
Decentralizuotas finansavimas (DeFi) protokolas ir automatinis rinkos formuotojas ivedimas paskelbė, kad paskelbė pradinę ataskaitą apie neseniai įvykusį saugumo incidentą, susijusį su jos infrastruktūra.
Pranešime teigiama, kad pirmadienį, 07:46 UTC laiku, „Hypernative“ stebėjimo sistema aptiko neįprastą veiklą, rodančią, kad... išnaudoti nukreipta į „Balancer V2 Composable“ stabilius telkinius. Tolesnis tyrimas patvirtino, kad problema paveikė telkinius keliuose tinkluose, įskaitant „Ethereum“, „Base“, „Avalanche“, „Gnosis“, „Berachain“, „Polygon“, „Sonic“, „Arbitrum“ ir „Optimism“.
Pažeidžiamumas apsiribojo Balansorius V2 Kompoziciniai stabilūs fondai ir jų dariniai susijusiose grandinėse, tokiose kaip BEX ir „Beets“, tuo tarpu Balansorius V3 ir kitų tipų baseinai liko nepakitę.
Reaguodama į tai, „Balancer“ komanda bendradarbiavo su bendradarbiais, saugumo partneriais ir „white hat“ respondentais, kad suvaldytų incidentą, atgautų dalį paveikto turto ir įšaldytų pažeistas lėšas.
Koordinuotas reagavimo darbas buvo valdomas per specialų karo skyrių, skirtą prižiūrėti izoliaciją, komunikaciją ir išteklių atkūrimą keliuose tinkluose. CSPv6 telkiniai buvo perjungti į atkūrimo režimą, o bendradarbiaujant su išoriniais partneriais pagal SEAL saugaus uosto sistemą buvo įgyvendinti švelninimo veiksmai.
Nors galutinis nuostolių mastas vis dar vertinamas, ataka apibūdinta kaip didelė. Išsami ataskaita bus paskelbta baigus techninius ir teisinius vertinimus.
Techninis V2 paketinio keitimo projekto trūkumas nustatytas kaip pagrindinė priežastis, dauguma pavogtų lėšų atgauta
Pradinė techninė analizė parodė, kad pažeidžiamumas kilo dėl „Balancer V2 Vault“ konstrukcijos, kuri palaiko tiek paprastus, tiek paketinius keitimus. Paketinio keitimo funkcija leidžia atlikti kelias operacijas vienos operacijos metu, taip pagerinant dujų tiekimo efektyvumą taikant atidėtą atsiskaitymą – mechanizmą, leidžiantį laikinai naudoti žetonus, kol iki proceso pabaigos atkuriami likučiai. Sudaromuose stabiliuose telkiniuose likvidumo teikėjų žetonai buvo traktuojami kaip standartiniai žetonai, efektyviai apeinant minimalų tiekimo slenkstį ir leidžiant likvidumo lygiui nukristi iki neįprastai žemų verčių.
Šis išpuolis pasinaudojo problema, susijusia su „upscale“ funkcijos apvalinimo elgesiu, kai mastelio keitimo koeficientai buvo ne sveikieji skaičiai, sukurdami neatitikimus, kuriuos buvo galima išnaudoti naudojant „batchSwap“ funkciją, siekiant manipuliuoti likučiais ir išgauti vertę. Kai kurie paveikti ištekliai laikinai liko vidiniuose „Vault“ likučiuose, kol buvo išimami atliekant vėlesnes operacijas.
Pažeidžiamumas daugiausia paveikė „Composable Stable v5“ telkinius su pasibaigusiu pristabdymo laikotarpiu, o „Composable Stable v6“ telkiniai buvo automatiškai pristabdyti naudojant „Hypernative“ avarinius valdiklius ir apsaugoti nuo tolesnio poveikio. „Balancer V3“ ir kiti V2 telkinių tipai nebuvo paveikti.
Švelninimo pastangos buvo sutelktos į izoliavimą, atkūrimą ir tarpgrandinių patikrinimą. Avarinio reagavimo priemonės apėmė pažeidžiamų telkinių įšaldymą, naujų telkinių kūrimo sustabdymą, emisijų sustabdymą ir atkūrimo operacijų inicijavimą bendradarbiaujant su partneriais ir „white hat“ komandomis pagal „SEAL Safe Harbor“ sistemą. Prie atkūrimo finansavimo prisidėjo keli subjektai, įskaitant „StakeWise“, kuri susigrąžino daugiau nei 70 % pavogtų „osETH“, ir „BitFinding“, kuri perėmė maždaug 600 000 USD vertės panaudoto turto. Papildomai įsikišo tokie partneriai kaip „Sonic Labs“, „Berachain validators“ ir „Monerium“, kurie įdiegė tinklo sustabdymus arba įšaldymus, kad išvengtų tolesnių nuostolių.
„Balancer“ pažymėjo, kad toliau bendradarbiauja su išorės auditoriais, biržomis ir atkūrimo komandomis, siekdama patikrinti lėšų judėjimą ir suderinti paveiktus adresus.
Vykdomos paveiktų V2 telkinių atkūrimo pastangos
Nepaveiktų „Balancer“ telkinių operacijos ir toliau veikia saugiai, nes pažeidžiamumo vektorius buvo apribotas tam tikrais „Composable Stable“ telkinių tipais „Balancer V2“ sistemoje. „Balancer V3“ ir visos kitos „V2“ telkinių kategorijos lieka nepakitusios ir veikia įprastai. Pristabdytų „Composable Stable v6“ telkinių naudotojams buvo įjungtas atkūrimo režimas, leidžiantis proporcingai atsiimti pagrindinį turtą. „Composable Stable v5“ telkiniai buvo paveikti ir toliau aktyviai peržiūrimi, todėl naudotojams patariama susilaikyti nuo sąveikos su šiomis sutartimis, kol nebus oficialiai paskelbtas patvirtinimas.
Visi patikrinti pranešimai ir instrukcijos bus teikiami tik oficialiais „Balancer“ kanalais. Atnaujinta informacija apie lėšų susigrąžinimą, suderintus poveikio rodiklius ir pomirtinio patikrinimo išvadas bus paskelbta, kai bus baigti tarpžinybiniai ir partnerių patikrinimo procesai. Lėšų susigrąžinimo ir sekimo pastangos tęsiamos bendradarbiaujant su apsaugos įmonėmis, auditoriais ir „white hat“ komandomis pagal SEAL ir „zeroShadow“ koordinavimo sistemą, užtikrinant skaidrumą ir atitiktį reikalavimams visame lėšų susigrąžinimo procese.
Atsakomybės neigimas
Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.
Apie autorių
Alisa, atsidavusi žurnalistė MPost, specializuojasi kriptovaliutų, nulinių žinių įrodymų, investicijų ir plataus masto Web3. Akylai žvelgdama į naujas tendencijas ir technologijas, ji pateikia išsamią informaciją, kad informuotų ir įtrauktų skaitytojus į nuolat besikeičiančią skaitmeninių finansų aplinką.
Daugiau straipsnių
Alisa, atsidavusi žurnalistė MPost, specializuojasi kriptovaliutų, nulinių žinių įrodymų, investicijų ir plataus masto Web3. Akylai žvelgdama į naujas tendencijas ir technologijas, ji pateikia išsamią informaciją, kad informuotų ir įtrauktų skaitytojus į nuolat besikeičiančią skaitmeninių finansų aplinką.
