Il protocollo di finanza decentralizzata (DeFi) e market maker Balancer ha recentemente subito un grave exploit, che ha causato la perdita di oltre 120 milioni di dollari in asset digitali.
Secondo le aziende di sicurezza blockchain, le perdite totali hanno ormai raggiunto circa 128 milioni di dollari, e continuano a essere segnalati prelievi dal portafoglio dell'aggressore.
Dettagli dell'attacco del bilanciatore
In unpost sulla piattaforma social X (in precedenza Twitter), Balancer ha riconosciuto l'exploit, affermando che i suoi team di ingegneria e sicurezza stavano indagando sulla violazione con la massima priorità. Hanno aggiunto:
Balancer è impegnata nella sicurezza operativa, è stata sottoposta a approfonditi audit da parte di importanti società e ha attivato da tempo programmi di bug bounty per incentivare i revisori indipendenti. Stiamo lavorando a stretto contatto con i nostri team di sicurezza e legali per garantire la sicurezza degli utenti e stiamo conducendo un'indagine rapida e approfondita. Siamo grati ai nostri partner e alla più ampia comunità DeFi per il loro supporto.
L'amministratore delegato dell'azienda, Deddy Lavid, ha spiegato che il continuo drenaggio di fondi è probabilmente dovuto alla compromissione dei meccanismi di controllo degli accessi all'interno del protocollo, che hanno consentito agli aggressori di manipolare direttamente i saldi.
L'esperto di mercato Adi Flips ha fornito ulteriori approfondimenti sull'exploit,spiegando in dettaglio come l'attacco abbia preso di mira i vault V2 e i pool di liquidità di Balancer sfruttando le vulnerabilità nelle interazioni degli smart contract.
Le indagini preliminari indicano che l'exploit coinvolgeva un contratto distribuito in modo dannoso che manipolava le chiamate al vault durante l'inizializzazione dei pool. Questa manipolazione è stata resa possibile da una gestione impropria delle autorizzazioni e delle callback, che ha permesso all'aggressore di eludere le misure di sicurezza esistenti.
Di conseguenza, si sono verificati scambi non autorizzati e manipolazioni del saldo nei pool interconnessi, consentendo il rapido svuotamento delle risorse nel giro di pochi minuti.
L'attacco è stato avviato con una transazione cruciale sulla mainnet di Ethereum (ETH), che ha indirizzato gli asset verso un nuovo portafoglio controllato dall'autore del reato. In seguito, i fondi rubati sono stati consolidati, probabilmente per essere riciclati tramite mixer o bridge.
Analisi dei beni rubati
Secondo l'analisi di Adi Flips, la progettazione del protocollo Balancer, che consente una forte interazione tra i suoi pool, ha aggravato l'impatto dell'exploit.
Ha affermato che in passato sono state osservate vulnerabilità simili nei market maker automatizzati (AMM), spesso legate al modo in cui gestiscono i token deflazionistici o gestiscono il ribilanciamento del pool.
È importante sottolineare che al momento non ci sono prove che suggeriscano che una chiave privata sia stata compromessa. L'esperto ha osservato che questo incidente sembra essere un semplice exploit di uno smart contract.
La ripartizione dei beni rubati include oltre 70 milioni di dollari in Ethereum, con perdite aggiuntive di circa 7 milioni di dollari da Base e Sonic insieme e circa 2 milioni di dollari da altre catene.
Secondo le indagini in corso, il furto totale stimato dei principali asset, tra cui wrapped Ethereum (WETH), staking Ethereum (wstETH), osETH, frxETH, rsETH e rETH, ammonta a una cifra compresa tra 116 e 128 milioni di dollari.
Immagine in evidenza da DALL-E, grafico da TradingView.com