去中心化金融(DeFi)协议Balancer背后的团队于周三发布了一份初步事后报告,详细说明了导致1.16亿美元资金在DeFi市场中被窃取的漏洞原因。
根据报告,Balancer在周一遭受了一次复杂的代码漏洞攻击,影响了Balancer v2稳定池和Composable Stable v5池,而所有其他池类型均未受影响。
黑客使用了BatchSwaps的组合——允许用户在单个交易中捆绑多个操作,包括闪电贷(在同一交易中借入和偿还的短期贷款)——以及利用影响稳定池中EXACT_OUT交换的向上舍入函数漏洞。
舍入函数旨在当代币价格作为输入时向下舍入。然而,黑客能够操纵这些舍入值,并结合BatchSwap功能,从稳定池中抽走资金。团队写道:
"在许多情况下,被盗资金在被提取之前作为内部余额留在Vault中,然后在后续交易中被提取。"
这次黑客攻击提醒人们,暴露在互联网上的热钱包、流动性池和链上资金容易受到黑客不断演变的网络安全威胁,促使加密货币用户和区块链开发者在保护资金方面谨慎行事。
Balancer在加密货币行业的帮助下应对1.16亿美元黑客攻击
据Cointelegraph此前报道,黑客可能是技术熟练的专业人士,他们在执行攻击前准备了数月,使用一系列0.1以太坊(ETH)的Tornado Cash存款为攻击提供资金以避免被发现。
Balancer与网络安全合作伙伴和加密协议合作,收回或冻结了部分被盗资金,包括5041枚StakeWise Staked ETH(osETH),价值约1900万美元,以及13495枚osGNO代币,价值高达200万美元。
该团队已暂停所有受影响的池,并禁止创建新的"易受攻击"池,直到安全问题得到修复。
Balancer向道德黑客和肇事者提供了20%的白帽赏金,以换取被盗资金的归还,但截至撰写本文时,尚无人认领赏金。