Балансировщик лишился почти $1 млн через несколько дней после раскрытия уязвимости

22 августа компания Balancer Labs - некастодиальный портфельный менеджер, поставщик ликвидности и датчик цен - получила сообщения о масштабной уязвимости, затронувшей несколько ее кредитных пулов.

На тот момент теракты не были совершены, но недавно ситуация изменилась.

Сообщество оповещено

Как только эксплойт был обнаружен, разработчики Balancer опубликовали предупреждение для своих пользователей, отметив, что некоторые пулы уже были помечены как безопасные, и пообещав провести анализ ситуации, как только будет готов патч.

Для того чтобы убедиться в сохранности своих средств, пользователи были направлены на недавно созданный портал, позволяющий проверить, не подвергаются ли их средства риску. Однако в качестве дополнительной меры безопасности разработчики рекомендовали пользователям временно вывести свои средства из всех пулов.

К сожалению, это предупреждение дошло не до всех, и неизбежное произошло почти через неделю.

Эксплойт подтвержден исследователями CyberSec

Вчера вечером компания Balancer подтвердила на сайте X, что эксплойт все-таки произошел, и еще раз призвала своих пользователей вывести средства, чтобы предотвратить дальнейшие эксплойты.

"Компании Balancer известно об эксплойте, связанном с указанной ниже уязвимостью. Процедуры по устранению уязвимости позволили значительно снизить риски, однако приостановить работу затронутых пулов не удается. Чтобы предотвратить дальнейшее использование уязвимости, пользователи должны выйти из затронутых LP."

Эксплойт также подтвердил Меир Долев, основатель и технический директор компании CyverAI, специализирующейся на безопасности Web3.

Balancer известно об эксплойте, связанном с приведенной ниже уязвимостью.

Процедуры по снижению рисков значительно уменьшили их, но не смогли приостановить работу пострадавших пулов.

Для предотвращения дальнейшей эксплуатации пользователи должны отказаться от использования затронутых LP.https://t.co/PDzX32gqeS https://t.co/b4CSqVFbDg.

- Balancer (@Balancer) 27 августа 2023 г.

Атака была проведена через три отдельные транзакции DAI, все они вели к одному и тому же кошельку.

Первый был самым крупным - на сумму более 600 тыс. долл. За ней последовали две более мелкие сделки, стоившие кредитным пулам соответственно 250 тыс. и 85 тыс. долл.

Несмотря на то, что по сравнению с другими эксплойтами, имевшими место в начале этого года, хакеру удалось получить значительную сумму незаконных средств.

Сообщество балансировщиков, по понятным причинам, было огорчено этой новостью, а некоторые пользователи порекомендовали разработчикам найти новую отрасль для работы.

В общей сложности неисправленная уязвимость смарт-контрактов обошлась Balancer более чем в 970 тыс. долл. Обещанный отчет о вскрытии уязвимости также, несомненно, придется переделать, чтобы учесть, что этот эксплойт был обнаружен отдельным злоумышленником - хотя, скорее всего, хакер был предупрежден о нем на форуме Balancer.