Balancer Terkena Eksploitasi Saat $128M Dipindahkan Dari Vaults

Keuangan terdesentralisasi (DeFi) protokol Balancer telah kehilangan $128 juta setelah mengalami eksploitasi jahat. Data on-chain menunjukkan lebih dari $128 juta dalam aset yang ditarik dari brankas protokol.

Dana yang dicuri termasuk osETH, WETH, dan wstETH, dengan pelaku eksploitasi mengonsolidasikan aset yang dicuri, menimbulkan kekhawatiran tentang pencucian uang

Balancer Terkena Eksploitasi

Balancer, sebuah protokol keuangan terdesentralisasi (DeFi) yang terkenal, telah mengalami eksploitasi besar, dengan data on-chain menunjukkan bahwa lebih dari $128 juta dalam aset telah dipindahkan ke dompet baru. Menurut data blockchain, dana yang dicuri termasuk 6,850 osETH, 6,590 WETH, dan 4,260 wstETH, dengan peretasan mempengaruhi vault di Balancer v2. Vault v2 Protokol bertindak sebagai mesin likuiditas pusatnya, mengagregasi token dan memfasilitasi perdagangan antara kolam likuiditas. Tim Balancer mengakui peretasan tersebut di X, menyatakan,

“Kami menyadari adanya potensi eksploitasi yang mempengaruhi kolam Balancer v2. Tim teknik dan keamanan kami sedang menyelidiki dengan prioritas tinggi. Kami akan membagikan pembaruan yang terverifikasi dan langkah selanjutnya segera setelah kami memiliki informasi lebih lanjut.”

Vaults di Sonic, Polygon, dan Base juga telah terpengaruh

Mikko Ohtamaa, salah satu pendiri dan CEO Trading Strategy, mencatat bahwa analisis awal terhadap serangan menunjukkan bahwa kontrak pintar yang cacat adalah penyebab utama serangan tersebut. Ia menambahkan bahwa meskipun tidak semua versi Balancer terpengaruh, kerugian bisa lebih tinggi jika fork v2 yang lebih lama berbagi kerentanan yang sama yang digunakan oleh penyerang. Perusahaan keamanan PeckShield menyatakan bahwa serangan ini masih berlangsung di beberapa rantai di mana Balancer diterapkan.

Bagaimana Serangan Terjadi

Menurut perusahaan keamanan Decurity, serangan terjadi akibat kesalahan kontrol akses dalam fungsi “manageUserBalance” Balancer. Kerentanan terletak pada ValidateUserBalanceOp, yang memeriksa msg.sender terhadap op.sender yang disediakan pengguna, sebuah kesalahan logika yang memungkinkan penarikan tidak sah melalui operasi UserBalanceOpKind.WITHDRAW_INTERNAL.

Dalam istilah yang lebih sederhana, kerentanan tersebut memungkinkan para penyerang untuk memicu penarikan saldo internal dari kontrak pintar Balancer tanpa izin yang diperlukan.

“manageUserBalance di Balancer memiliki pemeriksaan akses yang salah. Di _validateUserBalanceOp, ia memeriksa msg.sender terhadap op.sender yang disuplai oleh pengguna. Ini memungkinkan eksekusi UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1).”

Para ahli keamanan on-chain telah menyoroti bahwa alamat penyerang telah mulai mengkonsolidasikan aset, menimbulkan kekhawatiran bahwa mereka sedang bersiap untuk mencuci dana melalui pencampur terdesentralisasi.

Eksploitasi Ketiga

Balancer adalah platform terdesentralisasi yang dibangun di atas Ethereum yang memungkinkan pengguna untuk memperdagangkan token dan menyediakan likuiditas menggunakan kolam yang seimbang secara otomatis. Protokol ini telah aktif sejak 2020 dan memiliki lebih dari $350 juta dalam TVL hanya di Ethereum. Insiden terbaru adalah pelanggaran keamanan ketiga yang diketahui untuk Balancer. Platform ini sebelumnya mengalami eksploitasi pada 2021 dan 2023, kehilangan jutaan. Para ahli on-chain menyatakan bahwa vault adalah kontrak pintar utama Balancer, yang menyimpan token dari setiap kolam Balancer.

Desain ini diperkenalkan dalam Balancer v2 dan memisahkan akuntansi token dari logika kolam, membuat kolam lebih kecil, lebih sederhana, dan lebih aman untuk dibangun. Pendekatan ini memungkinkan siapa saja untuk menyambungkan desain kolam baru tanpa membuat DEX baru.

Pemberitahuan: Artikel ini disediakan hanya untuk tujuan informasi. Artikel ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.