Grave Sfruttamento di Balancer
Il market maker automatizzato di criptovalute Balancer ha subito un grave sfruttamento all’inizio di lunedì, che ha portato al furto di circa 128 milioni di dollari in asset digitali su più blockchain. Di conseguenza, la rete emergente Berachain ha forzatamente interrotto la propria blockchain e sta tentando un hard fork per risolvere il problema.
Vulnerabilità di Balancer V2
Balancer offriva i suoi servizi su più catene, tra cui Ethereum, Arbitrum e Base, e tutte quelle che utilizzavano Balancer V2 erano vulnerabili all’attacco. Inoltre, molti protocolli hanno utilizzato il suo codice per costruire i propri prodotti, che soffrono della stessa vulnerabilità.
L’exploit è probabilmente derivato da un “piccolo errore di precisione/arrotondamento” trovato nelle pool di liquidità di Balancer V2, ha dichiarato l’azienda di analisi on-chain Nansen a Decrypt. L’attaccante ha sfruttato le pool per indirizzare quell’errore di arrotondamento tramite più scambi all’interno di una singola transazione.
Meccanismo dell’Attacco
Questo ha portato il Balancer Pool Token (BPT), che rappresenta la proprietà nelle pool di liquidità di Balancer, a essere sottovalutato dalla pool di liquidità.
“Con il prezzo del BPT depresso, l’attaccante ha scambiato o coniato BPT a quel valore inflazionato. Ha immediatamente convertito quei BPT (sottovalutati) di nuovo in asset sottostanti e poi in ETH, incassando la differenza,”
ha dichiarato l’analista di ricerca di Nansen Nicolai Sondergaard a Decrypt.
Gli esperti di sicurezza Cyvers e PeckShield stimano entrambi che le perdite totali valgano circa 128 milioni di dollari. Nansen ha stimato che la cifra sia più vicina ai 100 milioni, un importo che sta diminuendo man mano che i prezzi dei token calano in mezzo a un crollo più ampio del mercato.
Risposta di Balancer e Berachain
I fondi rubati sono stati poi inviati attraverso diversi indirizzi e scambiati su exchange decentralizzati. Balancer ha riconosciuto l’exploit e ha confermato che il problema è isolato specificamente alle Composable Stable Pools di Balancer V2, il che significa che le pool V3 rimangono inalterate. Il progetto sta ora collaborando con “ricercatori di sicurezza di primo piano” per creare un’analisi completa dell’incidente.
Il token BAL di Balancer è sceso di oltre l’11% nel giorno, con una capitalizzazione di mercato di 56 milioni di dollari, secondo CoinGecko.
“È probabile che il peggio sia passato a questo punto, poiché non sembra che l’exploit stia ritirando ulteriori fondi,”
ha detto Sondergaard.
A seguito dell’attacco, i validatori di Berachain si sono coordinati per fermare la blockchain, con piani per eseguire un hard fork di emergenza per riportare la catena al suo stato precedente all’exploit. Questo perché l’exchange decentralizzato nativo di Berachain è costruito sulla stessa vulnerabilità del codice di Balancer V2, ha dichiarato Cyvers a Decrypt. Questo spiega perché Berachain è stato colpito così duramente, con perdite stimate di 12,86 milioni di dollari.
Controversie e Reazioni
“Dato che ha colpito asset non nativi (non solo BERA), il rollback/rollforward coinvolge più di un semplice hard fork,”
ha affermato l’annuncio della Berachain Foundation, spiegando perché la blockchain è stata interrotta nel frattempo. Questa mossa è altamente controversa tra i nativi delle criptovalute che credono nell’immutabilità delle blockchain.
Per molti appassionati di criptovalute, forcare una catena e annullare transazioni va contro tutto ciò che rappresenta la criptovaluta. Ethereum ha famosamente riportato indietro la propria blockchain tramite un hard fork dopo il famoso hack del 2016 di The DAO, che ha portato al furto di 50 milioni di dollari in ETH, un importo che rappresentava una quantità significativa dell’offerta totale all’epoca.
“Sono sicuro che alcuni non saranno felici di questo, e riconosciamo che potrebbe essere visto come una decisione controversa,”
ha scritto il fondatore pseudonimo di Berachain e CSO Smokey the Bera su X.
“L’obiettivo è recuperare i fondi il prima possibile e garantire che tutti gli LP siano al sicuro,”
ha aggiunto Smokey.
Anche il token di Berachain è sceso di quasi il 10% nel giorno, con una capitalizzazione di mercato di 211 milioni di dollari, secondo CoinGecko.
