Balancerで1億ドル超のハッキング被害、DeFi業界に激震

記事タイトル："Veteran DeFi Compromised: Balancer V2 Contract Vulnerability, Over $110 Million in Assets Stolen"

執筆者：Wenser, Odaily Planet Daily

編集者注：本日、DeFiプロトコルのBalancerがハッキング被害に遭い、盗難資金は1億1600万ドルを超えました。複数のプロジェクトが対策を講じています。Lidoは影響を受けていないBalancerのポジションを撤回し、BerachainはBEX上のBalancer V2関連の脆弱性に対処するため、緊急ハードフォークを実施するネットワーク停止を発表しました。

さらに、Flashbotsの戦略ディレクターでありLidoの戦略アドバイザーであるHasu氏は、「Balancer v2は2021年に稼働して以来、最も注目され、頻繁にフォークされてきたスマートコントラクトの一つだ。これは非常に懸念される事態だ。これほど長く稼働しているコントラクトがハッキングされるたびに、DeFiの普及が6〜12ヶ月後退してしまう。」と投稿しました。以下は記事本文です。

11月3日、ベテランのDeFiプロトコルであるBalancerから7000万ドル以上の資産が盗まれたと報じられました。その後、このニュースは複数の当事者によって確認され、盗難資金の規模は拡大し続けています。執筆時点で、Balancerから盗まれた資産総額は1億1600万ドル以上に達しています。Odaily Planet Dailyは本記事でこの事件を簡潔に分析します。

Balancerハッキングの詳細：1億1600万ドル超の損失、主にv2プールスマートコントラクトの欠陥が原因

オンチェーン情報によると、Balancerの攻撃者は現在1億1600万ドル以上の資産を盗んでおり、主な盗難資産にはWETH、wstETH、osETH、frxETH、rsETH、rETHが含まれ、ETH、Base、Sonicなど複数のチェーンに分散しています。内訳は以下の通りです：

· Ethereumチェーンでの盗難資産：約1億ドル；

· Arbitrumチェーンでの盗難資産：約800万ドル；

· Baseチェーンでの盗難資産：約395万ドル；

· Sonicチェーンでの盗難資産：340万ドル以上；

· Optimismチェーンでの盗難資産：約157万ドル；

· Polygonチェーンでの盗難資産：約23万ドル。

暗号資産KOLのAdi氏は、初期調査によると攻撃は主にBalancerのV2ボールトと流動性プールを標的とし、スマートコントラクトの相互作用における脆弱性を悪用したものだと投稿しました。オンチェーン調査員は、悪意を持って展開されたコントラクトがプール初期化中にボールトの呼び出しを操作したと指摘しています。不適切な認証とコールバック処理により、攻撃者は保護措置を回避し、相互接続された流動性プール間での不正なスワップや残高操作を可能にし、数分以内に迅速な資産盗難を引き起こしました。

入手可能な情報に基づくと、秘密鍵の漏洩の証拠はなく、純粋にスマートコントラクトの脆弱性によるものです。

監査会社kebabsecの監査員でありcitreaの開発者でもある@okkothejawa氏も、「@moo9000が言及したチェックエラーは根本原因ではない可能性がある。すべての'manageUserBalance'呼び出しにおいてops.sender == msg.senderであるためだ。セキュリティの脆弱性は、資産を抽出するコントラクトが作成される前のトランザクションで発生した可能性があり、それがBalancerボールトの状態変化を招いた」と述べています。

Balancerの公式回答では、「当チームはBalancer v2プールに影響を与える潜在的な脆弱性を認識しています。エンジニアリングおよびセキュリティチームが優先的に調査を行っています。詳細が判明次第、検証済みのアップデートと次のステップを直ちに共有します」と述べています。

資産損失のリスクに直面しているBerachainも迅速に対応しました。Berachain Foundationの投稿に続き、Berachainの創設者であるSmokey The Bera氏は、「Beraノードグループは、Balancerの脆弱性がBEX（主にUSDeスリープール）に影響を与えるのを防ぐため、パブリックチェーンの運用を事前に一時停止しました。

· EthenaチームにBeraブリッジの無効化を指示

· レンディング市場でのUSDe預け入れを無効化/一時停止

· HONEYトークンのミントと交換を一時停止

· CEXと連絡を取り、ハッカーのアドレスをブラックリストに登録

私たちの目標は、資金を可能な限り迅速に回収し、すべてのLPの安全を確保することです。Berachainチームは準備ができ次第、関連するノードバリデーターおよびサービスプロバイダーにバイナリを直ちにリリースします（このプールには非ネイティブ資産が含まれているため、Beraトークンの残高を変更するだけでなく、一部のスロット再構成が必要です）。」

Balancer攻撃者のオンチェーン情報：https://intel.arkm.com/explorer/entity/cd756cb8-6a84-4f40-9361-f6c548544430

Balancerハッキング：最も不安なのは仮想通貨のクジラ

確立されたDeFiプロトコルとして、Balancerのユーザーはこのハッキングによって最も直接的な影響を受けています。現在のユーザーが取れる行動は以下の通りです：

· さらなる損失を防ぐため、Balancer v2プールから資金を引き出す；

· 承認の取り消し：Revoke、DeBank、またはEtherscanを使用して、Balancerアドレスからのスマートコントラクト権限を取り消し、潜在的なセキュリティリスクを回避する；

· 警戒を怠らない：Balancer攻撃者の次の動きと、他のDeFiプロトコルに連鎖的な影響を与えるかどうかに注意を払う。

さらに、3年間活動していなかった休眠状態の仮想通貨のクジラが、このハッキングで注目を集めています。

LookonChainの監視によると、アドレス0x009023dA14A3C9f448B75f33cEb9291c21373bD8を持つ3年間休眠していた仮想通貨のクジラが、Balancerプラットフォームの脆弱性発生後に突然目覚めました。このクジラは、Balancerから650万ドル相当の関連資産を急いで引き出そうとしています。オンチェーン情報：https://intel.arkm.com/explorer/address/0x009023dA14A3C9f448B75f33cEb9291c21373bD8

最新の動向：ハッカーがトークン交換パターンを開始

オンチェーンアナリストYu Jin氏の監視によると、Balancerハッキングのハッカーは、多くのリキッドステーキングトークン（LST）をETHに交換し始めています。以前、ハッカーは10 osETHを10.55 ETHに交換しました。

オンチェーンデータによると、ハッカーはCow Protocolを使用して、複数のチェーンにわたる盗難資産を継続的にETH、USDC、その他の資産に交換しています。現在、これらの盗難資産を回収できる見込みは薄いようです。

今後、Balancerがプロトコルのスマートコントラクトの脆弱性を迅速に特定し、盗難資産を早期に回収できるか、あるいは対応策を提供できるかについて、Odailyは引き続き追跡します。

元記事リンク