Balancer Sufre un Explotación Mientras $128M Se Mueve Desde los Cofres

Las finanzas descentralizadas (DeFi) el protocolo Balancer ha perdido $128 millones tras sufrir un exploit malicioso. Los datos en la cadena muestran más de $128 millones en activos retirados de las bóvedas del protocolo.

Los fondos robados incluyen osETH, WETH y wstETH, con el explotador consolidando los activos robados, lo que genera preocupaciones sobre el blanqueo.

Balancer Sufre un Explotación

Balancer, un prominente protocolo de finanzas descentralizadas (DeFi), ha sido víctima de un importante exploit, con datos en cadena que muestran que más de $128 millones en activos han sido movidos a una nueva billetera. Según los datos de la blockchain, los fondos robados incluyen 6,850 osETH, 6,590 WETH y 4,260 wstETH, con el hackeo afectando a los vaults en Balancer v2. Los vaults v2 del Protocolo actúan como su motor de liquidez central, agregando tokens y facilitando el comercio entre pools de liquidez. El equipo de Balancer reconoció el hackeo en X, afirmando,

“Somos conscientes de una posible explotación que afecta a las piscinas de Balancer v2. Nuestros equipos de ingeniería y seguridad están investigando con alta prioridad. Compartiremos actualizaciones verificadas y los próximos pasos tan pronto como tengamos más información.”

Las bóvedas en Sonic, Polygon y Base también se han visto afectadas

Mikko Ohtamaa, cofundador y CEO de Trading Strategy, señaló que el análisis preliminar del ataque indica un contrato inteligente defectuoso como la causa principal del ataque. Agregó que, aunque no todas las versiones de Balancer se vieron afectadas, las pérdidas podrían ser mayores si los forks v2 más antiguos comparten la misma vulnerabilidad utilizada por el atacante. La firma de seguridad PeckShield declaró que el ataque aún está en curso en múltiples cadenas en las que se implementa Balancer.

Cómo se desarrolló el ataque

Según la firma de seguridad Decurity, el ataque ocurrió debido a un control de acceso defectuoso en la función “manageUserBalance” de Balancer. La vulnerabilidad estaba en el ValidateUserBalanceOp, que verifica msg.sender contra un op.sender proporcionado por el usuario, un error lógico que permite retiros no autorizados a través de la operación UserBalanceOpKind.WITHDRAW_INTERNAL.

En términos más simples, la vulnerabilidad permitió a los atacantes activar retiros de saldo internos de los contratos inteligentes de Balancer sin los permisos requeridos.

“manageUserBalance en Balancer tiene una verificación de acceso defectuosa En _validateUserBalanceOp verifica msg.sender contra op.sender proporcionado por el usuario. Permite la ejecución de UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1).”

Los expertos en seguridad en la cadena han destacado que la dirección del atacante ya ha comenzado a consolidar los activos, lo que genera preocupaciones de que están preparando para blanquear los fondos a través de mezcladores descentralizados.

Una tercera explotación

Balancer es una plataforma descentralizada construida sobre Ethereum que permite a los usuarios negociar tokens y proporcionar liquidez utilizando sus pools autoajustables. El protocolo ha estado activo desde 2020 y tiene más de $350 millones en TVL solo en Ethereum. El último incidente es la tercera violación de seguridad conocida de Balancer. La plataforma sufrió anteriormente exploits en 2021 y 2023, perdiendo millones. Expertos en cadena afirmaron que el vault es el contrato inteligente principal de Balancer, que alberga tokens de cada pool de Balancer.

El diseño se introdujo en Balancer v2 y separa la contabilidad de tokens de la lógica del pool, haciendo que los pools sean más pequeños, simples y seguros de construir. Este enfoque permitió a cualquier persona conectar un nuevo diseño de pool sin crear un nuevo DEX.

Aviso legal: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero u otro.