8 月22 日、非保管ポートフォリオ マネージャー、流動性プロバイダー、および価格センサーである Balancer Labs は、同社のローン プールの多くに影響を与える大規模な脆弱性に関する報告を受け取りました。
当時は攻撃は行われていなかったが、最近になって状況が変わった。
警戒コミュニティ
このエクスプロイトが発見されるとすぐに、Balancer の開発者はユーザーに警告を発し、一部のプールはすでに安全であるとマークされていることに注意し、パッチの準備ができ次第、状況の事後調査を行うことを約束しました。
資金の安全を確保するために、ユーザーは新しく作成されたポータルに誘導され、保有資産が危険にさらされているかどうかを確認できるようになりました。ただし、開発者は追加の安全対策として、ユーザーがすべてのプールから一時的に資金を引き出すことを推奨しています。
残念ながら、その警告は誰の耳にも届きませんでしたが、ほぼ1週間後に避けられないことが起こりました。
CyberSec 研究者によってエクスプロイトが確認された
昨夜、バランサーはエクスプロイトがついに発生したことをX上で確認し、さらなるエクスプロイトを避けるために資金を引き出すようユーザーに再度促した。
「バランサーは、以下にリストされている脆弱性に関連するエクスプロイトを認識しています。緩和手順によりリスクは大幅に軽減されましたが、影響を受けたプールを一時停止することはできません。さらなる悪用を防ぐには、ユーザーは影響を受ける LP から引退する必要があります。
このエクスプロイトは、Web3 セキュリティ企業 CyverAI の創設者兼最高技術責任者 (CTO) であるメイア・ドレフ氏によっても確認されました。
Balancer は、次の脆弱性に関連するエクスプロイトを認識しています。
緩和手順によりリスクは大幅に軽減されましたが、影響を受けたプールを一時停止することはできません。
さらなる悪用を防ぐには、ユーザーは影響を受ける LP から引退する必要があります。 https://t.co/PDzX32gqeS https://t.co/b4CSqVFbDg
— バランサー (@Balancer) 2023年8月27日
この攻撃は 3 つの個別の DAI トランザクションを介して実行され、すべて同じウォレットに起因します。
前者は断然最大で、60万ドル以上の価値がありました。小規模な取引が 2 件続き、融資プールの費用はそれぞれ 250,000 ドルと 85,000 ドルを超えました。
今年初めの他のエクスプロイトほどの被害はありませんでしたが、それでもハッカーは多額の違法資金を盗むことに成功しました。
Balancer コミュニティがこのニュースに落胆したのは当然で、一部のユーザーは開発者に新しい業界で働くようアドバイスしました。
パッチが適用されていないスマート コントラクトの脆弱性により、Balancer には合計 97 万ドル以上の費用がかかりました。また、問題のハッカーがバランサー フォーラムに投稿された警告によって密告された可能性が高いにもかかわらず、このエクスプロイトがさらに別の悪意のある攻撃者によって発見されたという事実を含めるために、約束された事後報告書も間違いなく作り直す必要があるでしょう。
CryptoPotatoに最初に脆弱性が公開されてから、投稿バランサーは 100 日近くで 100 万ドル近くを使い果たしました。