在去中心化交易所和自動化做市商Balancer遭遇成功漏洞利用,導致超過1億美元數字資產被盜後,許多加密貨幣交易者正在尋求答案。
在週一的X平台帖子中,Balancer向用戶更新了漏洞利用情況,稱該事件"僅限於V2可組合穩定池,不影響Balancer V3或其他Balancer池"。
該平台補充說,它"經過頂級公司的廣泛審計,並長期運行漏洞賞金計畫以激勵獨立審計師",這讓人質疑該漏洞利用是如何實現的。
"Balancer經歷了10多次審計,"TAC區塊鏈開發者關係負責人Suhail Kakar在X平台上表示。"金庫被不同公司分別審計了3次,仍然被駭客攻擊損失1.1億美元。這個領域需要接受'經X審計'幾乎毫無意義的事實。代碼很難,DeFi更難。"
根據GitHub上提供的Balancer V2審計清單,4家不同的安全公司——OpenZeppelin、Trail of Bits、Certora和ABDK——對該平台的智能合約進行了11次審計,最近一次是Trail of Bits於2022年9月對其穩定池進行的審計。
Cointelegraph聯繫了OpenZeppelin徵求評論,但截至發稿時尚未收到回覆。Trail of Bits發言人拒絕對該漏洞利用發表評論,"直到確定根本原因並且所有Balancer分叉都安全為止"。
週一早些時候報告的這次漏洞利用導致價值超過1.16億美元的質押以太幣(ETH)——包括StakeWise質押ETH(OSETH)、Wrapped Ether(WETH)和Lido wstETH(wSTETH)——被轉移到一個新創建的錢包。Nansen研究分析師告訴Cointelegraph,Balancer事件可能源於智能合約問題,該問題存在"錯誤的訪問檢查,允許攻擊者發送提取資金的命令"。
項目提供20%白帽賞金以換取歸還資金
在週一向攻擊者發出的區塊鏈交易備註中,Balancer團隊提供高達被盜資金20%的白帽賞金,前提是在通知後48小時內歸還全部金額。
"如果你選擇不合作,我們已聘請獨立區塊鏈取證專家,並正在積極配合多個執法機構和監管合作夥伴,"Balancer表示。
截至發稿時,該項目尚未宣布有關賞金或漏洞利用細節的任何額外更新。
