Атака на Balancer
Автоматизированный маркет-мейкер криптовалют Balancer стал жертвой крупной атаки в понедельник утром, в результате которой было украдено цифровых активов на сумму около $128 миллионов на нескольких блокчейнах. В связи с этим новая сеть Berachain вынужденно приостановила свою работу и планирует провести хард-форк для решения возникшей проблемы.
Уязвимость Balancer V2
Balancer предлагал свои услуги на нескольких цепочках, включая Ethereum, Arbitrum и Base, и все пользователи Balancer V2 оказались уязвимыми для атаки. Более того, многие протоколы использовали его кодовую базу для создания собственных продуктов, которые также страдают от той же уязвимости. По словам аналитической компании Nansen, атака, вероятно, произошла из-за небольшой ошибки точности/округления, обнаруженной в ликвидных пулах Balancer V2. Нападающий использовал несколько обменов в одной транзакции, чтобы вызвать эту ошибку округления. Это привело к тому, что токен Balancer Pool Token (BPT), представляющий долю в ликвидных пулах Balancer, был недооценен.
«С учетом того, что цена BPT была занижена, нападающий обменял или выпустил BPT по этой заниженной цене. Затем он немедленно конвертировал эти (недооцененные) BPT обратно в основные активы, а затем в ETH, забрав разницу», — отметил аналитик Nansen Николай Сондергаард.
Эксперты по безопасности Cyvers и PeckShield оценивают общие потери примерно в $128 миллионов, в то время как Nansen оценивает эту цифру ближе к $100 миллионам, сумма которой уменьшается по мере падения цен на токены на фоне общего падения рынка. Украденные средства были затем отправлены через несколько различных адресов и обменены на децентрализованных биржах.
Реакция Balancer и Berachain
Balancer признал атаку и подтвердил, что проблема ограничена именно ликвидными пулами Balancer V2, что означает, что пулы V3 не пострадали. Проект сейчас работает с ведущими исследователями безопасности, чтобы создать полный отчет о происшествии. Токен BAL Balancer упал более чем на 11% за день, составив рыночную капитализацию в $56 миллионов, согласно CoinGecko. «Скорее всего, худшее позади, так как не похоже, что злоумышленник выводит дополнительные средства», — добавил Сондергаард.
В результате атаки валидаторы Berachain скоординировались для приостановки блокчейна с планами провести экстренный хард-форк, чтобы вернуть цепочку в состояние до атаки. Это связано с тем, что родная децентрализованная биржа Berachain построена на той же уязвимой кодовой базе, что и Balancer V2, как сообщил Cyvers Decrypt. Это объясняет, почему Berachain пострадал так сильно, с оценочными потерями в $12.86 миллионов.
«Учитывая, что это затронуло ненативные активы (не только BERA), откат/перекат включает больше, чем простой хард-форк», — говорится в объявлении Фонда Berachain, объясняя, почему блокчейн был приостановлен в это время.
Этот шаг вызывает большие споры среди крипто-энтузиастов, которые верят в неизменность блокчейнов. Для многих преданных сторонников криптовалюты форк цепочки и отмена транзакций противоречит основным принципам криптовалют.
Исторический контекст
Ethereum известен тем, что откатил свою блокчейн-сеть через хард-форк после знаменитой атаки на The DAO в 2016 году, в результате которой было украдено $50 миллионов в ETH — сумма, представлявшая собой значительную часть общего предложения на тот момент. Спорный хард-форк разделил сообщество, и те, кто был против разделения, остались с оригинальной цепочкой, которая теперь называется Ethereum Classic.
«Я уверен, что некоторые не будут довольны этим, и мы понимаем, что это может рассматриваться как спорное решение», — написал основатель и CSO Berachain, известный под псевдонимом Smokey the Bera, в X. «Пользователи и LP в сети всегда являются нашим приоритетом, и когда около $12 миллионов пользовательских средств находятся под угрозой от злонамеренного нападающего, мы попытались скоординировать набор валидаторов, чтобы защитить этих пользователей.»
«Цель состоит в том, чтобы как можно скорее вернуть средства и обеспечить безопасность всех LP», — добавил Smokey. Токен Berachain также упал почти на 10% за день, составив рыночную капитализацию в $211 миллионов, согласно CoinGecko.
