ngày 22ND Vào tháng 8, Balancer Labs (nhà quản lý danh mục đầu tư không giám sát, nhà cung cấp thanh khoản và cảm biến giá) đã nhận được báo cáo về một lỗ hổng lớn ảnh hưởng đến một số nhóm cho vay của họ.
Vào thời điểm đó, không có cuộc tấn công nào – nhưng điều đó đã thay đổi gần đây.
cảnh báo cộng đồng
Sau khi phát hiện ra lỗ hổng, các nhà phát triển Balancer đã đưa ra cảnh báo cho người dùng, lưu ý rằng một số nhóm khai thác nhất định đã được đánh dấu là an toàn và hứa sẽ tiến hành phân tích tình hình sau khi có bản vá.
Để đảm bảo tiền của họ được an toàn, người dùng được chuyển đến một cổng thông tin mới được tạo cho phép họ kiểm tra xem tài sản của họ có gặp rủi ro hay không. Tuy nhiên, các nhà phát triển khuyên người dùng nên tạm thời rút tiền từ tất cả các nhóm như một biện pháp bảo mật bổ sung.
Thật không may, lời cảnh báo đã không đến được với mọi người và gần một tuần sau, điều không thể tránh khỏi đã xảy ra.
Các nhà nghiên cứu của CyberSec xác nhận lỗ hổng
tối qua người cân bằng xác nhận X cho biết vi phạm cuối cùng đã xảy ra và một lần nữa kêu gọi người dùng rút tiền để ngăn chặn các vi phạm tiếp theo.
“Balancer đã phát hiện ra các lỗ hổng liên quan đến các lỗ hổng sau. Việc giảm nhẹ giúp giảm đáng kể rủi ro nhưng không thể tạm dừng các nhóm bị ảnh hưởng. Để ngăn chặn việc khai thác thêm, người dùng phải thoát khỏi các LP bị ảnh hưởng.”
Meir Dolev, người sáng lập và CTO của công ty bảo mật Web3 CyverAI, cũng xác nhận lỗ hổng này.
Balancer đã tìm thấy các lỗi khai thác liên quan đến các lỗ hổng sau.
Các quy trình giảm thiểu rủi ro giúp giảm đáng kể rủi ro nhưng không thể đình chỉ các nhóm khai thác bị ảnh hưởng.
Để ngăn chặn việc khai thác thêm, người dùng phải thoát khỏi LP bị ảnh hưởng.
– Cân bằng (@Balancer) Ngày 27 tháng 8 năm 2023
Cuộc tấn công được thực hiện thông qua ba giao dịch DAI riêng biệt, tất cả đều quay trở lại cùng một ví.
Cái đầu tiên là cái lớn nhất cho đến nay – trị giá hơn 600.000 USD. Tiếp theo là hai giao dịch nhỏ hơn, với các khoản cho vay có giá lần lượt hơn 250.000 USD và 85.000 USD.
Mặc dù không có sức tàn phá khủng khiếp như các cuộc tấn công khác xảy ra vào đầu năm nay nhưng tin tặc vẫn đánh cắp một lượng lớn tiền bất hợp pháp.
Cộng đồng Balancer thất vọng trước tin này là điều dễ hiểu, với một số người dùng gợi ý rằng các nhà phát triển nên tìm một giải pháp ngành công nghiệp mới Công việc.
Tổng cộng, các lỗ hổng hợp đồng thông minh chưa được vá đã tiêu tốn của Balancer hơn 970.000 USD. Không còn nghi ngờ gì nữa, báo cáo khám nghiệm tử thi đã hứa cũng sẽ phải được làm lại để bao gồm thực tế là lỗi đã được phát hiện bởi một kẻ xấu khác – mặc dù hacker được đề cập có thể đã đến đó thông qua một cảnh báo được đăng trên diễn đàn Balancer.
