人気の分散型取引所バランサーが8月27日にハッキングに遭い、100万ドル近くを失った。
この悪用は、チームが “重大な脆弱性 “を公表してから1週間も経たないうちに発生した。8月22日、バランサー・チームは取引所の流動性プロバイダー(LP)に対し、脆弱性にさらされた特定のプールから資金を引き出すよう要請した。
バランサー・チームは今朝、ハッキングを認め、”脆弱性に関連する悪用を認識している “と述べた。
暗号セキュリティ会社Cyversの創設者兼CTOであるMeir Dolev氏は、ハッカーのイーサリアムアドレスを特定し、そのアドレスは日曜日以降にDAI安定コインの3回の送金を受け、合計で約97万9420ドルであった
。
The attacker continues with his operation, approx $900K affected, more than $600K moved to this address.
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) 2023年8月27日
最後の送金は、バランサーのエクスプロイトに関するツイートが発信されてから数時間後の日曜午後6時30分頃(米国東部時間)に行われた。Dolev氏は、”攻撃者は作戦を続けている “と付け加えた。
ブロックチェーンセキュリティ会社のBeosinは、このエクスプロイトは “複数のフラッシュローン攻撃 “によって実行されたとツイートした。
フラッシュローン攻撃では、攻撃者はDeFiプラットフォームから大量の暗号通貨を借り入れ、その資金を使って影響を受けたプールを操作し、そこから資金を吸い上げ、同じトランザクションでローンを返済する。
バランサー・チームはTCNのコメント要請に即座に回答しなかった。
バランサーのリスクは多い
8月25日、バランサーチームは、ほとんどのLPが影響を受けたプールから撤退したため、「TVL総額の0.08%(565,199ドル)」だけがまだリスクにさらされていると発表した
。
UPDATE
当初脆弱と判断された流動性の99.7%以上は現在安全です。
脆弱性は悪用されておらず、資金が失われたこともありません。
https://t.co/PDzX32fSpkpic.twitter.com/EZCO8ehZxe
-バランサー (@Balancer) August 25, 2023
しかし、ハッカーは90万ドル以上を盗んでおり、これはチームが言及した金額よりも高い。
ブロックチェーンセキュリティ会社BlockSecのアナリストはTCNに対し、「攻撃されたプールを確認したところ、これらはバランサーチームが先週言及したリストに含まれていた」と述べた。
バランサーは、8つのブロックチェーンにまたがるブーストプールのみが脆弱性の影響を受けると言及していた。ブーストプールは流動性プールの一種で、Aaveのような他のアプリで流動性の一部を貸すことで、流動性プロバイダーの利回りを増幅させる。
BlockSecの調査員は、トークンの評価の違いは、”トークン価値の計算の違い-特に流動性の低いトークンとの違い “から生じる可能性があると付け加えた。
BeosinのアナリストもTCNに、ハッキングされた金額はチームが言及した金額を上回ったが、悪用はチームが言及したブーストプールで起こったと語った。
バランサーチームは、引き出しが資金を保護する唯一の方法であると繰り返し言及している。さらに、彼らはまた、専用のユーザーインターフェイスを介して引き出しを可能にするプールへのアクセスをロックした。
しかし、流動性プロバイダーが資金の引き出しを遅らせている間にも、攻撃者は資金を盗むために執拗な努力を続けている。