8 月22 日,非託管投資組合管理公司、流動性提供商和價格傳感器 Balancer Labs 收到報告,稱其許多貸款池存在嚴重漏洞。
當時尚未發生任何襲擊,但最近情況發生了變化。
提醒社區
一旦發現該漏洞,Balancer 開發人員就向用戶發出警告,指出一些礦池已被標記為安全,並承諾一旦補丁準備就緒,就會對情況進行事後分析。
為了確保他們的資金安全,用戶被引導到一個新創建的門戶,該門戶允許他們檢查他們的資產是否面臨風險。然而,開發商建議用戶暫時從所有池中提取資金,作為額外的安全措施。
不幸的是,這個警告並沒有傳到每個人的耳朵裡,近一周後,不可避免的事情發生了。
CyberSec 研究人員證實了該漏洞
昨晚Balancer在X上確認終於發生了漏洞,並再次敦促用戶撤回資金以避免進一步的漏洞。
“Balancer 發現了與下列漏洞相關的漏洞。緩解程序大大降低了風險,但無法暫停受影響的礦池。為了防止進一步的攻擊,用戶必須從受影響的 LP 中退出。
Web3 安全公司 CyverAI 的創始人兼首席技術官 Meir Dolev 也證實了該漏洞。
Balancer 發現與以下漏洞相關的利用。
緩解程序大大降低了風險,但無法暫停受影響的礦池。
為了防止進一步的攻擊,用戶必須從受影響的 LP 中退出。 https://t.co/PDzX32gqeS https://t.co/b4CSqVFbDg
- Balancer (@Balancer) 2023 年 8 月 27 日
這次攻擊是通過三筆獨立的 DAI 交易進行的,所有交易都歸因於同一個錢包。
前者是迄今為止最大的——價值超過 60 萬美元。隨後發生了兩筆規模較小的交易,貸款池的成本分別超過 25 萬美元和 8.5 萬美元。
雖然不像今年早些時候的其他攻擊那樣具有破壞性,但黑客仍然成功竊取了大量非法資金。
Balancer 社區對這一消息感到沮喪,這是可以理解的,一些用戶建議開發人員尋找一個新的行業來工作。
未修補的智能合約漏洞總共給 Balancer 造成了超過 97 萬美元的損失。毫無疑問,承諾的事後分析報告也必須重做,以包含這一漏洞是由另一個不良行為者發現的事實,儘管該黑客很可能是通過 Balancer 論壇上發布的警告得到的。
該漏洞首次出現在CryptoPotato上後,Balancer 後幾天就損失了近 100 萬美元。