Angriff auf den automatisierten Market Maker Balancer
Der automatisierte Market Maker Balancer wurde am frühen Montag Opfer eines schweren Angriffs, der zu einem geschätzten Verlust von 128 Millionen Dollar an digitalen Vermögenswerten über mehrere Blockchains führte. Infolgedessen sah sich das aufstrebende Netzwerk Berachain gezwungen, sein Blockchain-Netzwerk vorübergehend zu stoppen und plant, einen Hard Fork durchzuführen, um das Problem zu beheben.
Details des Angriffs
Balancer bot seine Dienste über mehrere Ketten an – darunter Ethereum, Arbitrum und Base – und alle Nutzer von Balancer V2 waren anfällig für den Angriff. Zudem haben viele Protokolle den Code von Balancer verwendet, um eigene Produkte zu entwickeln, die ebenfalls von der gleichen Schwachstelle betroffen sind.
Der Angriff wurde wahrscheinlich durch einen „winzigen Präzisions-/Rundungsfehler“ in den Liquiditätspools von Balancer V2 ermöglicht, wie die On-Chain-Analysefirma Nansen gegenüber Decrypt erklärte. Der Angreifer nutzte mehrere Swaps innerhalb einer einzigen Transaktion, um die Pools in Richtung dieses Rundungsfehlers zu drängen. Dies führte dazu, dass der Balancer Pool Token (BPT), der das Eigentum an den Liquiditätspools von Balancer repräsentiert, unterbewertet wurde.
„Mit dem gedrückten BPT-Preis tauschte der Angreifer zu diesem deflationierten Wert in BPT ein oder mintete BPT. Er konvertierte diese (unterbewerteten) BPT sofort zurück in die zugrunde liegenden Vermögenswerte und dann in ETH und pocketete die Differenz“, erklärte Nansen-Forschungsanalyst Nicolai Sondergaard gegenüber Decrypt.
Folgen des Angriffs
Sicherheits-Experten von Cyvers und PeckShield schätzen die Gesamtschäden auf etwa 128 Millionen Dollar, während Nansen die Zahl auf näher bei 100 Millionen Dollar beziffert, ein Betrag, der sinkt, während die Tokenpreise im Zuge eines breiteren Marktrückgangs fallen. Die gestohlenen Gelder wurden dann über mehrere verschiedene Adressen gesendet und auf dezentralen Börsen getauscht.
Balancer hat den Angriff anerkannt und bestätigt, dass das Problem speziell auf die Balancer V2 Composable Stable Pools beschränkt ist – was bedeutet, dass V3-Pools nicht betroffen sind. Das Projekt arbeitet nun mit führenden Sicherheitsforschern zusammen, um eine vollständige Nachbesprechung des Vorfalls zu erstellen.
Der BAL-Token von Balancer fiel am Tag um mehr als 11 % auf eine Marktkapitalisierung von 56 Millionen Dollar, laut CoinGecko. „Es ist wahrscheinlich, dass das Schlimmste jetzt hinter uns liegt, da es nicht so aussieht, als würde der Angreifer weitere Gelder abheben“, sagte Sondergaard.
Reaktion von Berachain
Infolge des Angriffs koordinierten die Berachain-Validatoren die Stilllegung der Blockchain, mit dem Plan, einen Notfall-Hard Fork durchzuführen, um die Kette auf ihren Zustand vor dem Angriff zurückzusetzen. Dies liegt daran, dass die native dezentrale Börse von Berachain auf demselben anfälligen Code basiert wie Balancer V2, erklärte Cyvers gegenüber Decrypt. Dies erklärt, warum Berachain so stark betroffen wurde, mit geschätzten Verlusten von 12,86 Millionen Dollar.
„Da es nicht-native Vermögenswerte betroffen hat (nicht nur BERA), umfasst das Zurücksetzen/Vorwärtssetzen mehr als einen einfachen Hard Fork“, erklärte die Ankündigung der Berachain-Stiftung und erläuterte, warum die Blockchain in der Zwischenzeit gestoppt wurde.
Dieser Schritt ist unter Krypto-Nutzern, die an die Unveränderlichkeit von Blockchains glauben, äußerst umstritten. Für viele überzeugte Krypto-Gläubige widerspricht das Forken einer Kette und das Rückgängigmachen von Transaktionen allem, wofür Krypto steht. Ethereum hat seine Blockchain bekanntlich durch einen Hard Fork nach dem berühmten Hack von The DAO im Jahr 2016 zurückgesetzt, was zu einem Diebstahl von 50 Millionen Dollar in ETH führte – ein Betrag, der zu diesem Zeitpunkt einen erheblichen Teil des Gesamtangebots darstellte.
„Ich bin mir sicher, dass einige damit nicht glücklich sein werden, und wir erkennen an, dass dies als umstrittene Entscheidung angesehen werden könnte“, schrieb der pseudonyme Berachain-Gründer und CSO Smokey the Bera auf X. „Benutzer und LPs im Netzwerk haben immer Priorität, und wenn etwa 12 Millionen Dollar an Benutzerfonds von einem böswilligen Angreifer bedroht sind, haben wir versucht, das Validator-Set zu koordinieren, um diese Benutzer zu schützen.“
„Das Ziel ist es, die Gelder so schnell wie möglich zurückzuholen und sicherzustellen, dass alle LPs sicher sind“, fügte Smokey hinzu. Der Token von Berachain ist ebenfalls um fast 10 % auf eine Marktkapitalisierung von 211 Millionen Dollar gefallen, laut CoinGecko.
