Balancer frappé par une exploitation alors que $128M a été déplacé des coffres

La finance décentralisée (DeFi) le protocole Balancer a perdu $128 millions après avoir subi une exploitation malveillante. Les données on-chain montrent plus de $128 millions d'actifs retirés des coffres du protocole.

Les fonds volés comprennent osETH, WETH et wstETH, l'exploitant consolidant les actifs volés, suscitant des inquiétudes concernant le blanchiment.

Balancer frappé par une exploitation

Balancer, un protocole DeFi décentralisé de premier plan, a été touché par une importante exploitation, les données en chaîne montrant que plus de ( millions d'actifs ont été déplacés vers un nouveau portefeuille. Selon les données de la blockchain, les fonds volés comprennent 6 850 osETH, 6 590 WETH et 4 260 wstETH, l'attaque affectant les coffres sur Balancer v2. Les coffres v2 du protocole agissent comme son moteur de liquidité central, agrégeant des jetons et facilitant le commerce entre les pools de liquidité. L'équipe de Balancer a reconnu le piratage sur X, déclarant,

« Nous sommes au courant d'une exploitation potentielle impactant les pools Balancer v2. Nos équipes d'ingénierie et de sécurité enquêtent avec une grande priorité. Nous partagerons des mises à jour vérifiées et les prochaines étapes dès que nous aurons plus d'informations. »

Les coffres sur Sonic, Polygon et Base ont également été impactés.

Mikko Ohtamaa, co-fondateur et PDG de Trading Strategy, a noté qu'une analyse préliminaire de l'attaque indique un contrat intelligent défectueux comme la principale cause de l'attaque. Il a ajouté que bien que toutes les versions de Balancer n'aient pas été affectées, les pertes pourraient être plus importantes si d'anciennes fourches v2 partagent la même vulnérabilité utilisée par l'attaquant. La société de sécurité PeckShield a déclaré que l'attaque est toujours en cours sur plusieurs chaînes sur lesquelles Balancer est déployé.

Comment l'attaque s'est déroulée

Selon la société de sécurité Decurity, l'attaque a eu lieu en raison d'un contrôle d'accès défectueux dans la fonction “manageUserBalance” de Balancer. La vulnérabilité se trouvait dans le ValidateUserBalanceOp, qui vérifie msg.sender par rapport à un op.sender fourni par l'utilisateur, un défaut logique qui permet des retraits non autorisés via l'opération UserBalanceOpKind.WITHDRAW_INTERNAL.

En termes plus simples, la vulnérabilité a permis aux attaquants de déclencher des retraits de solde internes des contrats intelligents de Balancer sans les autorisations requises.

“manageUserBalance dans Balancer a un contrôle d'accès défectueux Dans _validateUserBalanceOp, il vérifie msg.sender par rapport à op.sender fourni par l'utilisateur. Cela permet l'exécution de UserBalanceOpKind.WITHDRAW_INTERNAL )kind = 1$128 .”

Des experts en sécurité on-chain ont souligné que l'adresse de l'attaquant a déjà commencé à consolider les actifs, suscitant des inquiétudes quant à leur préparation à blanchir les fonds via des mélangeurs décentralisés.

Une troisième exploitation

Balancer est une plateforme décentralisée construite sur Ethereum qui permet aux utilisateurs d'échanger des tokens et de fournir de la liquidité en utilisant ses pools auto-équilibrants. Le protocole est actif depuis 2020 et détient plus de ( millions en TVL uniquement sur Ethereum. Le dernier incident est la troisième violation de sécurité connue pour Balancer. La plateforme a précédemment subi des exploits en 2021 et 2023, perdant des millions. Les experts on-chain ont déclaré que le vault est le principal contrat intelligent de Balancer, détenant des tokens de chaque pool Balancer.

Le design a été introduit dans Balancer v2 et sépare la comptabilité des jetons de la logique des pools, rendant les pools plus petits, plus simples et plus sûrs à construire. Cette approche a permis à quiconque d'intégrer un nouveau design de pool sans créer un nouveau DEX.

Avertissement : Cet article est fourni à des fins d'information uniquement. Il n'est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.