Udnyttelse af Balancer
Den automatiserede kryptovaluta-markedsfører Balancer blev udsat for en betydelig udnyttelse tidligt mandag, hvilket resulterede i, at digitale aktiver til en anslået værdi af 128 millioner dollars blev stjålet på tværs af flere blockchains. Som følge heraf har det nye netværk Berachain været nødt til at stoppe sin blockchain og planlægger en hard fork for at løse problemet.
Angrebets Detaljer
Balancer tilbød sine tjenester på tværs af flere kæder, herunder Ethereum, Arbitrum og Base, og alle brugere af Balancer V2 var sårbare over for angrebet. Desuden har mange protokoller anvendt dens kodebase til at udvikle deres egne produkter, som også lider under den samme sårbarhed.
Udnyttelsen menes at være forårsaget af en “lille præcisions-/afrundingsfejl”, som blev opdaget i Balancer V2 likviditetspools, ifølge on-chain analysefirmaet Nansen. Angriberen udnyttede denne afrundingsfejl ved at udføre flere swaps inden for en enkelt transaktion. Dette førte til, at Balancer Pool Token (BPT), som repræsenterer ejerskab i Balancer likviditetspools, blev undervurderet af likviditetspoolen.
“Med BPT-prisen depressiv, byttede angriberen ind eller prægede BPT til den deflaterede værdi. De konverterede straks disse (underprissatte) BPT tilbage til underliggende aktiver og derefter til ETH, og tog forskellen i lommen,” sagde Nansen Research Analyst Nicolai Sondergaard til Decrypt.
Konsekvenser og Reaktioner
Sikkerhedseksperterne Cyvers og PeckShield vurderer, at de samlede tab er værd cirka 128 millioner dollars. Nansen vurderede tallet til at være tættere på 100 millioner dollars, et beløb der falder, efterhånden som tokenpriserne falder i takt med et bredere markedskollaps. De stjålne midler blev derefter sendt gennem flere forskellige adresser og byttet på decentrale børser.
Balancer har anerkendt udnyttelsen og bekræftet, at problemet er isoleret til Balancer V2 Composable Stable Pools specifikt, hvilket betyder, at V3-pools forbliver upåvirkede. Projektet arbejder nu sammen med “førende sikkerhedsforskere” for at lave en fuld postmortem af hændelsen. Balancers BAL-token er faldet med mere end 11% på dagen til en markedsværdi på 56 millioner dollars ifølge CoinGecko.
“[Det er] sandsynligvis det værste, der er bag os på dette tidspunkt, da det ikke ser ud til, at udnytteren trækker flere midler ud,” sagde Sondergaard.
Berachains Reaktion
Som følge af angrebet koordinerede Berachain-validatorer for at stoppe blockchainen, med planer om at udføre en nødsituation hard fork for at rulle kæden tilbage til sin tilstand før udnyttelsen. Dette skyldes, at Berachains native decentrale børs er bygget på den samme sårbare kodebase som Balancer V2, fortalte Cyvers til Decrypt. Det forklarer, hvorfor Berachain blev ramt så hårdt, med et anslået tab på 12,86 millioner dollars.
“Da det påvirkede ikke-native aktiver (ikke kun BERA), involverer rollback/rollforward mere end en simpel hard fork,” sagde Berachain Foundation i en meddelelse, der forklarede, hvorfor blockchainen blev stoppet i mellemtiden. Dette skridt er meget kontroversielt blandt kryptonativer, der tror på uforanderligheden af blockchains.
Historisk Perspektiv
For mange hardcore kryptotroende går det imod alt, hvad kryptovaluta står for, at forke en kæde og annullere transaktioner. Ethereum rullede berømt sin blockchain tilbage via en hard fork efter det berømte hack af The DAO i 2016, hvilket førte til, at 50 millioner dollars i ETH blev stjålet – et beløb, der repræsenterede en betydelig del af den samlede forsyning på det tidspunkt. Den kontroversielle hard fork delte samfundet, hvor dem, der var imod splittelsen, blev ved den oprindelige kæde i det, der nu kaldes Ethereum Classic.
“Jeg er sikker på, at nogle ikke vil være glade for dette, og vi anerkender, at dette kan ses som en kontroversiel beslutning,” skrev den pseudonyme Berachain-grundlægger og CSO Smokey the Bera på X. “Brugere og LP’er på netværket er altid vores prioritet, og når cirka 12 millioner dollars af brugerens midler er i fare fra en ondsindet angriber, forsøgte vi at koordinere validator-sættet for at beskytte disse brugere.”
“Målet er at genvinde midlerne så hurtigt som muligt og sikre, at alle LP’er er sikre,” tilføjede Smokey. Berachains token er også faldet næsten 10% på dagen til en markedsværdi på 211 millioner dollars ifølge CoinGecko.
