Хакерская атака на DeFi -протокол Balancer произошла из-за ошибки в одном из ключевых компонентов платформы — пулах Composable Stable. Таким выводом поделились разработчики проекта.
Согласно заявлению, уязвимость позволила злоумышленникам использовать особенность механизма отложенных расчетов. Из-за ошибки в коде ликвидность могла временно опускаться ниже критического минимального порога.
При определенных операциях обмена (EXACT_OUT) не целые коэффициенты масштабирования приводили к округлению значений в меньшую сторону. Накапливаясь, эти расхождения создавали возможность для манипуляции балансами пулов, что и позволило хакерам вывести средства.
Активы сначала перемещались на внутренние счета хранилища Balancer v2, а затем выводились отдельными транзакциями.
Основной удар пришелся на пулы Composable Stable v5, у которых истек срок действия защитного периода. Пулы v6 избежали масштабного истощения благодаря системе экстренного реагирования Hypernative, которая автоматически приостановила их работу.
«Инцидент затронул исключительно Composable Stable Pools в Balancer v2 и их форки в других сетях: BEX и Beets. Balancer v3 и другие типы пулов не подверглись атаке», — отметила команда протокола.
Масштаб инцидента
Для противодействия угрозе другие партнеры Balancer также предприняли ряд мер. В частности:
- StakeWise ДАО вернула около $19 млн в osETH и $1,7 млн в osGNO — 73,5% от украденного объема osETH;
- валидаторы Berachain остановили работу сети для хардфорка, который устранил уязвимость в BEX v2;
- Sonic Labs заморозила кошельки, связанные с подозреваемым злоумышленником, и заблокировала движение средств в своем форке Balancer;
- Gnosis ввела временные ограничения на работу моста;
- Monerium заморозила 1,3 млн EURe на счете затронутого хранилища.
Усилиями BitFinding и MEV -ботов Base вернули около $750 000.
По словам разработчиков, принятая в прошлом правовая структура Safe Harbor ( BIP-726 ) «существенно улучшила скорость и координацию реагирования».
Пока точная сумма возвращенных средств неизвестна. Команда Balancer пообещала отчитаться об окончательных потерях и восстановленных активах после завершения аудита.
Напомним, DeFi-протокол подвергся взлому 3 ноября. Атака продолжалась несколько часов.
