去中心化金融(DeFi)協議Balancer背後的團隊於週三發布了一份初步事後報告,詳細說明了導致1.16億美元資金在DeFi市場中被竊取的漏洞原因。
根據報告,Balancer在週一遭受了一次複雜的代碼漏洞攻擊,影響了Balancer v2穩定池和Composable Stable v5池,而所有其他池類型均未受影響。
駭客使用了BatchSwaps的組合——允許用戶在單個交易中捆綁多個操作,包括閃電貸(在同一交易中借入和償還的短期貸款)——以及利用影響穩定池中EXACT_OUT交換的向上捨入函數漏洞。
捨入函數旨在當代幣價格作為輸入時向下捨入。然而,駭客能夠操縱這些捨入值,並結合BatchSwap功能,從穩定池中抽走資金。團隊寫道:
"在許多情況下,被盜資金在被提取之前作為內部餘額留在Vault中,然後在後續交易中被提取。"
這次駭客攻擊提醒人們,暴露在互聯網上的熱錢包、流動性池和鏈上資金容易受到駭客不斷演變的網絡安全威脅,促使加密貨幣用戶和區塊鏈開發者在保護資金方面謹慎行事。
Balancer在加密貨幣行業的幫助下應對1.16億美元駭客攻擊
據Cointelegraph此前報導,駭客可能是技術熟練的專業人士,他們在執行攻擊前準備了數月,使用一系列0.1以太坊(ETH)的Tornado Cash存款為攻擊提供資金以避免被發現。
Balancer與網絡安全合作夥伴和加密協議合作,收回或凍結了部分被盜資金,包括5041枚StakeWise Staked ETH(osETH),價值約1900萬美元,以及13495枚osGNO代幣,價值高達200萬美元。
該團隊已暫停所有受影響的池,並禁止創建新的"易受攻擊"池,直到安全問題得到修復。
Balancer向道德駭客和肇事者提供了20%的白帽賞金,以換取被盜資金的歸還,但截至撰寫本文時,尚無人認領賞金。