Balancer Atingido Por Exploit À Medida Que $128M Foi Movido De Cofres

Finanças descentralizadas (DeFi) protocolo Balancer perdeu $128 milhões após sofrer um ataque malicioso. Dados on-chain mostram que mais de $128 milhões em ativos foram retirados dos cofres do protocolo.

Os fundos roubados incluem osETH, WETH e wstETH, com o explorador a consolidar os ativos roubados, levantando preocupações sobre a lavagem de dinheiro.

Balancer Atacado Por Exploração

Balancer, um proeminente protocolo de finanças descentralizadas (DeFi), foi atingido por um grande exploit, com dados on-chain mostrando que mais de $128 milhões em ativos foram movidos para uma nova carteira. De acordo com dados da blockchain, os fundos roubados incluem 6.850 osETH, 6.590 WETH e 4.260 wstETH, com o hack afetando os cofres no Balancer v2. Os cofres v2 do Protocolo atuam como seu motor central de liquidez, agregando tokens e facilitando a negociação entre pools de liquidez. A equipe do Balancer reconheceu o hack no X, afirmando,

“Estamos cientes de uma possível exploração que impacta os pools do Balancer v2. Nossas equipas de engenharia e segurança estão a investigar com alta prioridade. Partilharemos atualizações verificadas e os próximos passos assim que tivermos mais informações.”

Os cofres em Sonic, Polygon e Base também foram impactados

Mikko Ohtamaa, co-fundador e CEO da Trading Strategy, observou que a análise preliminar do ataque indica um contrato inteligente defeituoso como a principal causa do ataque. Ele acrescentou que, embora nem todas as versões do Balancer tenham sido afetadas, as perdas poderiam ser maiores se forks v2 mais antigos compartilhassem a mesma vulnerabilidade usada pelo atacante. A empresa de segurança PeckShield afirmou que o ataque ainda está em andamento em várias cadeias nas quais o Balancer está implantado.

Como o Ataque se Desenrolou

De acordo com a empresa de segurança Decurity, o ataque ocorreu devido a um controle de acesso defeituoso na função “manageUserBalance” do Balancer. A vulnerabilidade estava no ValidateUserBalanceOp, que verifica msg.sender em relação a um op.sender fornecido pelo usuário, uma falha lógica que permite retiradas não autorizadas através da operação UserBalanceOpKind.WITHDRAW_INTERNAL.

Em termos mais simples, a vulnerabilidade permitiu que os atacantes desencadeassem retiradas de saldo internas dos contratos inteligentes do Balancer sem as permissões necessárias.

“manageUserBalance no Balancer tem uma verificação de acesso com falha. Em _validateUserBalanceOp, verifica-se msg.sender em relação a op.sender fornecido pelo utilizador. Permite a execução de UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1).”

Especialistas em segurança on-chain destacaram que o endereço do atacante já começou a consolidar os ativos, levantando preocupações de que estão se preparando para lavar os fundos através de misturadores descentralizados.

Uma Terceira Exploração

Balancer é uma plataforma descentralizada construída na Ethereum que permite aos usuários negociar tokens e fornecer liquidez usando suas pools autoajustáveis. O protocolo está ativo desde 2020 e detém mais de $350 milhões em TVL apenas na Ethereum. O mais recente incidente é a terceira violação de segurança conhecida para o Balancer. A plataforma já sofreu explorações em 2021 e 2023, perdendo milhões. Especialistas on-chain afirmaram que o vault é o principal contrato inteligente do Balancer, mantendo tokens de todas as pools do Balancer.

O design foi introduzido no Balancer v2 e separa a contabilidade de tokens da lógica de pool, tornando os pools menores, mais simples e mais seguros de construir. Esta abordagem permitiu que qualquer pessoa integrasse um novo design de pool sem criar um novo DEX.

Aviso: Este artigo é fornecido apenas para fins informativos. Não é oferecido nem destinado a ser usado como aconselhamento legal, fiscal, de investimento, financeiro ou de outro tipo.