Розкрито спосіб злому біржі Balancer на $128 млн – Bits Media
Експерти компаній PeckShield і Nansen, що працюють у сфері кібербезпеки, повідомили, що недавня атака на біржу Balancer стала можливою через вразливість у смарт-контрактах, що дозволила хакеру обійти контроль доступу до пулів ліквідності.
Шкідлива програма, що використовує уразливості для несанкціонованого доступу, торкнулася пул ліквідності Balancer версії 2 (V2) на декількох блокчейнах, включаючи Ефіріум, Arbitrum, Base, Optimism та інші. Пули V3 не постраждали від атаки хакера, який скористався вразливістю, щоб обійти захисні механізми та дати команду на виведення коштів.
Зловмиснику вдалося викрасти значні обсяги токенів, у тому числі WETH (Wrapped Ether), osETH, wstETH, frxETH, rsETH та rETH. Команда біржі підтвердила факт злому та запевнила, що веде розслідування, пообіцявши надати всю інформацію про інцидент.
Прагнучи повернути кошти, команда Balancer запропонувала хакеру винагороду в розмірі до 20% викрадених монет, якщо всю суму за вирахуванням нагороди повернуть протягом доби. Якщо активи не повернуть за найближчі 48 годин, Balancer направить запит до правоохоронних органів та спеціалістів з блокчейн-криміналістики для встановлення особи зловмисника.
Ряд проектів, які використовують оновлення протоколу блокчейну Balancer, на кшталт Berachain та Beets Finance, вжили екстрених заходів для захисту. Berachain тимчасово призупинив роботу своєї мережі для хардфорка, щоб ізолювати порушені контракти та спробувати відновити активи клієнтів на суму близько $12 млн. Користувачам та протоколам рекомендовано відкликати дозволи на токени, видані смарт-контрактам Balancer, утримавшись від взаємодії з порушеними атаками.
Це не перший інцидент із безпекою у Balancer. Децентралізований протокол вже стикався з атаками, включаючи експлойт на суму майже $900 000 у серпні 2023 року та фішингову атаку через сайт у вересні 2025 року.
Раніше експерти компанії BlockSec Phalcon повідомили, що протокол децентралізованих фінансів Abracadabra втратив токени Magic Internet Money (MIM) на суму близько $1,8 млн через хакерську атаку. Зловмисник скористався вразливістю у смарт-контракті для виведення активів.
Источник: bits.media
