Il 22 agosto, Balancer Labs, un gestore di portafoglio non depositario, fornitore di liquidità e sensore di prezzo, ha ricevuto segnalazioni di un'enorme vulnerabilità che interessava molti dei suoi pool di prestiti.
All’epoca non era stato effettuato alcun attacco, ma di recente la situazione è cambiata.
Comunità allertata
Non appena l'exploit è stato scoperto, gli sviluppatori di Balancer hanno pubblicato un avviso per i propri utenti, sottolineando che alcuni pool erano già stati contrassegnati come sicuri e promettendo un post mortem della situazione non appena fosse stata pronta una patch.
Per garantire che i loro fondi fossero al sicuro, gli utenti sono stati indirizzati a un portale di nuova creazione che avrebbe consentito loro di verificare se le loro partecipazioni fossero a rischio o meno. Tuttavia, gli sviluppatori hanno raccomandato agli utenti di ritirare temporaneamente i propri fondi da tutti i pool come ulteriore misura di sicurezza.
Sfortunatamente, questo avvertimento non è arrivato alle orecchie di tutti e quasi una settimana dopo si è verificato l'inevitabile.
Exploit confermato dai ricercatori di CyberSec
Ieri sera Balancer ha confermato su X che finalmente si è verificato un exploit e ha invitato ancora una volta i suoi utenti a ritirare i propri fondi per evitare ulteriori exploit.
“Balancer è a conoscenza di un exploit relativo alla vulnerabilità riportata di seguito. Le procedure di mitigazione hanno ridotto drasticamente i rischi, ma non sono in grado di mettere in pausa i pool interessati. Per prevenire ulteriori exploit, gli utenti devono ritirarsi dagli LP interessati.
L'exploit è stato confermato anche da Meir Dolev, fondatore e CTO della società di sicurezza Web3 CyverAI.
Balancer è a conoscenza di un exploit correlato alla vulnerabilità riportata di seguito.
Le procedure di mitigazione hanno ridotto drasticamente i rischi, ma non sono in grado di mettere in pausa i pool interessati.
Per prevenire ulteriori exploit, gli utenti devono ritirarsi dagli LP interessati. https://t.co/PDzX32gqeS https://t.co/b4CSqVFbDg
— Balancer (@Balancer) 27 agosto 2023
L'attacco è stato effettuato tramite tre transazioni DAI separate, tutte riconducibili allo stesso portafoglio.
Il primo era di gran lunga il più grande: valeva oltre $ 600.000. Sono seguite due transazioni più piccole, che sono costate ai pool di prestito rispettivamente oltre $ 250.000 e $ 85.000.
Anche se non così dannoso come altri exploit avvenuti all’inizio di quest’anno, l’hacker è comunque riuscito a rubare una notevole quantità di fondi illeciti.
La community di Balancer è rimasta, comprensibilmente, sgomenta dalla notizia, con alcuni utenti che consigliavano agli sviluppatori di trovare un nuovo settore in cui lavorare.
In totale, la vulnerabilità del contratto intelligente senza patch è costata a Balancer più di 970.000 dollari. Anche il rapporto post mortem promesso dovrà senza dubbio essere rifatto per includere il fatto che questo exploit è stato scoperto da un altro cattivo attore, anche se l'hacker in questione molto probabilmente è stato informato dall'avvertimento pubblicato sul forum di Balancer.
Il post Balancer prosciugato per quasi 1 milione di dollari giorni dopo aver rivelato la vulnerabilità è apparso per la prima volta su CryptoPotato .