原文タイトル:《老牌 DeFi 沦陷:Balancer V2 合约漏洞,超 1.1 亿美元资产被盗》
原文作者:Wenser,Odaily 星球日报
11 月 3 日、老舗の分散型金融プロトコルBalancerが7,000万ドル超の資産流出を報告した。その後、この情報は複数の情報源で確認され、盗まれた資産の規模は絶えず増加している。執筆時点で、Balancerから盗まれた資産額は1億1600万ドルを超えている。Odaily 星球はこの記事でこの件について簡潔に分析する。
オンチェーン情報によると、Balancerの攻撃者はすでに1億1600万ドルを超える資金を盗み出しており、盗まれた資産にはWETH、wstETH、osETH、frxETH、rsETH、rETHが含まれ、ETH、Base、Sonicなど複数のブロックチェーンに分散している。その内訳は以下の通り:
· イーサリアムチェーン上の盗難資産:約1億ドル;
· Arbitrumチェーン上の盗難資産:約800万ドル;
· Baseチェーン上の盗難資産:約395万ドル;
· Sonicチェーン上の盗難資産:超340万ドル;
· Optimismチェーン上の盗難資産:約157万ドル;
· Polygonチェーン上の盗難資産:約23万ドル。
暗号化のインフルエンサーAdiは、初期調査の結果、この攻撃はBalancerのV2金庫と流動性プールを主なターゲットとし、スマートコントラクトの相互作用における脆弱性を利用したと述べている。オンチェーン調査員は、悪意のあるデプロイされたコントラクトが流動性プールの初期化中にVaultの呼び出しを操作したと指摘している。不適切な承認とプルバック処理により、攻撃者は保護措置を回避でき、相互に接続された流動性プール間での未承認のスワップや残高操作を可能にし、数分以内に資産を迅速に盗み出した。
現時点の情報によると、秘密鍵の漏洩は存在せず、これは純粋にスマートコントラクトの脆弱性によるものだ。
監査機関のkebabsecの監査人やcitreaのデベロッパー@okkothejawaも、「(@moo9000が指摘した検査エラーは)根本的な原因ではない可能性が高い。なぜなら、すべての『manageUserBalance』呼び出しにおいてops.sender == msg.senderだからだ。安全性の脆弱性は、資産引き出しのためのコントラクト作成前の取引に起因している可能性がある。これはBalancerの金庫内のいくつかの状態変化を引き起こしたためだ」と述べている。
Balancerの公式も、「公式チームはBalancer v2プールに影響を与える潜在的な脆弱性を把握している。私たちのエンジニアリングとセキュリティチームは調査を最優先で進めている。さらなる情報が得られ次第、検証済みのアップデートと今後の対応策を直ちに共有する」とコメントした。
また、潜在的に資産被害のリスクがあるBerachainも迅速に対応を発表した。Berachain財団は、次のように述べている。「Beraノードグループは、Balancerの脆弱性の影響を防ぐために、パブリックチェーンの運用を自主的に停止した。
· EthenaチームにBeraブリッジの無効化を依頼
· 貸借マーケットでUSDeの預入を停止/一時停止
· HONEYトークンのミントと交換を停止
· CEXなどと連携し、ハッカーのアドレスをブラックリストに登録
私たちの目標は、できるだけ早く資金を回収し、すべてのLPの安全を確保することだ。Berachainチームは準備が整い次第、関連ノードの検証者やサービス提供者にバイナリファイルを公開する予定だ(このプールには非ネイティブ資産が含まれているため、スロットの再構築なども必要となる場合があり、単にBeraトークンの残高を変更するだけではない)」。
Balancerの攻撃者のオンチェーン情報は以下の通り:
老舗の分散型金融プロトコルBalancerのユーザーは、今回の盗難事件の最も直接的な影響を受ける存在であり、現在のユーザーが取るべき行動は以下の通り:
· Balancer v2プールから資金を引き出し、損失拡大を防ぐ;
· 承認の取り消し:Revoke、DeBank、Etherscanを使用してBalancerのアドレスのスマートコントラクト権限を解除し、潜在的なセキュリティリスクを回避;
· フォロー:Balancer攻撃者の次の動きや他の分散型金融プロトコルへの連鎖的な影響に注意を払う。
さらに、今回の盗難事件では、3年間眠っていた暗号化のクジラが市場の注目を集めている。
LookonChainの監視によると、3年間休眠していた暗号化のクジラ0x0090がBalancerの脆弱性発生後に目覚め、自身の約650万ドルの資産を引き出そうとしている。オンチェーン情報は以下の通り:
オンチェーンアナリストの余烬によると、Balancerの盗難事件のハッカーは、複数の流動性ステーキングトークン(LST)をETHに交換し始めている。以前、彼は10 osETHを10.55 ETHにスワップした。
オンチェーン情報によると、ハッカーはCow Protocolを通じて、盗まれた資産を複数のチェーンからETHやUSDCなどに継続的にスワップしている。現時点では、これらの盗まれた資産の回収はかなり難しい見込みだ。
今後、Balancerが迅速にプロトコルの脆弱性を特定し、盗まれた資産の回収や解決策の提供を行えるかどうかについて、Odaily 星球は引き続き注視していく。
5.11K 人気度
54.5K 人気度
21.03K 人気度
5.1K 人気度
16.99K 人気度
Balancer V2先物の脆弱性事件の全解説:11億6000万ドル超の資産が盗まれた経緯
原文タイトル:《老牌 DeFi 沦陷:Balancer V2 合约漏洞,超 1.1 亿美元资产被盗》
原文作者:Wenser,Odaily 星球日报
11 月 3 日、老舗の分散型金融プロトコルBalancerが7,000万ドル超の資産流出を報告した。その後、この情報は複数の情報源で確認され、盗まれた資産の規模は絶えず増加している。執筆時点で、Balancerから盗まれた資産額は1億1600万ドルを超えている。Odaily 星球はこの記事でこの件について簡潔に分析する。
Balancerの盗難詳細:損失資産は1億1600万ドル超、主な原因はV2プールのスマートコントラクトの脆弱性
オンチェーン情報によると、Balancerの攻撃者はすでに1億1600万ドルを超える資金を盗み出しており、盗まれた資産にはWETH、wstETH、osETH、frxETH、rsETH、rETHが含まれ、ETH、Base、Sonicなど複数のブロックチェーンに分散している。その内訳は以下の通り:
· イーサリアムチェーン上の盗難資産:約1億ドル;
· Arbitrumチェーン上の盗難資産:約800万ドル;
· Baseチェーン上の盗難資産:約395万ドル;
· Sonicチェーン上の盗難資産:超340万ドル;
· Optimismチェーン上の盗難資産:約157万ドル;
· Polygonチェーン上の盗難資産:約23万ドル。
暗号化のインフルエンサーAdiは、初期調査の結果、この攻撃はBalancerのV2金庫と流動性プールを主なターゲットとし、スマートコントラクトの相互作用における脆弱性を利用したと述べている。オンチェーン調査員は、悪意のあるデプロイされたコントラクトが流動性プールの初期化中にVaultの呼び出しを操作したと指摘している。不適切な承認とプルバック処理により、攻撃者は保護措置を回避でき、相互に接続された流動性プール間での未承認のスワップや残高操作を可能にし、数分以内に資産を迅速に盗み出した。
現時点の情報によると、秘密鍵の漏洩は存在せず、これは純粋にスマートコントラクトの脆弱性によるものだ。
監査機関のkebabsecの監査人やcitreaのデベロッパー@okkothejawaも、「(@moo9000が指摘した検査エラーは)根本的な原因ではない可能性が高い。なぜなら、すべての『manageUserBalance』呼び出しにおいてops.sender == msg.senderだからだ。安全性の脆弱性は、資産引き出しのためのコントラクト作成前の取引に起因している可能性がある。これはBalancerの金庫内のいくつかの状態変化を引き起こしたためだ」と述べている。
Balancerの公式も、「公式チームはBalancer v2プールに影響を与える潜在的な脆弱性を把握している。私たちのエンジニアリングとセキュリティチームは調査を最優先で進めている。さらなる情報が得られ次第、検証済みのアップデートと今後の対応策を直ちに共有する」とコメントした。
また、潜在的に資産被害のリスクがあるBerachainも迅速に対応を発表した。Berachain財団は、次のように述べている。「Beraノードグループは、Balancerの脆弱性の影響を防ぐために、パブリックチェーンの運用を自主的に停止した。
· EthenaチームにBeraブリッジの無効化を依頼
· 貸借マーケットでUSDeの預入を停止/一時停止
· HONEYトークンのミントと交換を停止
· CEXなどと連携し、ハッカーのアドレスをブラックリストに登録
私たちの目標は、できるだけ早く資金を回収し、すべてのLPの安全を確保することだ。Berachainチームは準備が整い次第、関連ノードの検証者やサービス提供者にバイナリファイルを公開する予定だ(このプールには非ネイティブ資産が含まれているため、スロットの再構築なども必要となる場合があり、単にBeraトークンの残高を変更するだけではない)」。
Balancerの攻撃者のオンチェーン情報は以下の通り:
Balancerの盗難、最も緊張しているのは暗号化の巨鯨
老舗の分散型金融プロトコルBalancerのユーザーは、今回の盗難事件の最も直接的な影響を受ける存在であり、現在のユーザーが取るべき行動は以下の通り:
· Balancer v2プールから資金を引き出し、損失拡大を防ぐ;
· 承認の取り消し:Revoke、DeBank、Etherscanを使用してBalancerのアドレスのスマートコントラクト権限を解除し、潜在的なセキュリティリスクを回避;
· フォロー:Balancer攻撃者の次の動きや他の分散型金融プロトコルへの連鎖的な影響に注意を払う。
さらに、今回の盗難事件では、3年間眠っていた暗号化のクジラが市場の注目を集めている。
LookonChainの監視によると、3年間休眠していた暗号化のクジラ0x0090がBalancerの脆弱性発生後に目覚め、自身の約650万ドルの資産を引き出そうとしている。オンチェーン情報は以下の通り:
今後の展開:ハッカーはトークンのスワップを開始
オンチェーンアナリストの余烬によると、Balancerの盗難事件のハッカーは、複数の流動性ステーキングトークン(LST)をETHに交換し始めている。以前、彼は10 osETHを10.55 ETHにスワップした。
オンチェーン情報によると、ハッカーはCow Protocolを通じて、盗まれた資産を複数のチェーンからETHやUSDCなどに継続的にスワップしている。現時点では、これらの盗まれた資産の回収はかなり難しい見込みだ。
今後、Balancerが迅速にプロトコルの脆弱性を特定し、盗まれた資産の回収や解決策の提供を行えるかどうかについて、Odaily 星球は引き続き注視していく。