流行的去中心化交易所 Balancer 于 8 月 27 日遭遇黑客攻击,损失近 100 万美元。
在该团队披露了一个 “关键漏洞 “后不到一周,该漏洞就出现了。8 月 22 日,Balancer 团队要求交易所的流动性提供者(LPs)从暴露于该漏洞的某些资金池中撤回资金。
今天上午,Balancer 团队承认了这一黑客攻击事件,称他们 “意识到了与该漏洞相关的漏洞利用”。
加密货币安全公司 Cyvers 的创始人兼首席技术官 Meir Dolev 确定了黑客的以太坊地址,该地址自周日以来收到了三笔 DAI 稳定币转账,总额约为 979,420 美元。
攻击者继续其行动,约 90 万美元受到影响,超过 60 万美元转移到此地址
0xB23711b9D92C0f1c7b211c4E2DC69791c2df38c1 pic.twitter.com/inNqH4zel2– Meir Dolev (@Meir_Dv) 2023年8月27日
。
最后一次转账是在美东时间周日下午 6:30 左右进行的,也就是 Balancer 发布有关该漏洞的推文几个小时之后。Dolev补充说,”攻击者还在继续行动”。
区块链安全公司 Beosin 发布推文称,该漏洞是通过 “多次闪贷攻击 “实施的。
在闪贷攻击中,攻击者从 DeFi 平台借入大量加密货币,利用这些资金操纵受影响的资金池并从中抽走资金,然后在同一笔交易中偿还贷款。
Balancer 团队没有立即回应 TCN 的置评请求。
余额宝风险重重
8月25日,平衡器团队表示,由于大多数 LP 已从受影响的资金池中撤出,因此只有 “总 TVL(565,199 美元)的 0.08%”仍存在风险。
更新
最初被认为存在漏洞的 99.7% 以上的流动性现已安全。
该漏洞未被利用,也没有资金损失。
不过,总 TVL 的 0.08%(565,199 美元)仍存在风险,建议用户尽快使用用户界面提款。https://t.co/PDzX32fSpk pic.twitter.com/EZCO8ehZxe
– Balancer (@Balancer) 2023年8月25日
。
不过,黑客已经窃取了 90 多万美元,比团队提到的数额还要高。
区块链安全公司 BlockSec 的分析师告诉 TCN,”我们检查了被攻击的池,发现这些池都在 Balancer 团队上周提到的列表中”。
Balancer曾提到,只有八个区块链上的助推池受到了该漏洞的影响。助推池是流动性池的一种,它通过在 Aave 等其他应用程序中借出部分流动性来放大流动性提供者的收益。
BlockSec 的调查人员补充说,代币估值的差异可能源于 “代币价值计算的差异–尤其是流动性较低的代币”。
Beosin 分析师还告诉 TCN,虽然黑客攻击的金额超过了团队提到的金额,但漏洞利用发生在团队提到的增发池中。
Balancer 团队曾多次提到,提现是保护资金的唯一方式。此外,他们还锁定了通过专用用户界面提款的池访问权限。
然而,攻击者仍在不遗余力地窃取资金,而流动性提供商却迟迟不提取资金。
