(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer 已揭示了近期震动其平台的黑客事件的技术根本原因。
摘要
去中心化金融协议 Balancer 已确认其“升阶”函数的舍入逻辑存在内部漏洞,是导致11月3日黑客攻击的根本原因。据最新发布的初步报告显示,该函数在代币交换过程中被攻击者利用,导致资产在多个网络中被迅速抽走,包括 WETH、osETH 和 wstETH。
攻击者利用代码在处理非整数缩放因子时的漏洞,操控资金池余额,从而秘密转移资金。Balancer 透露,此次漏洞使黑客能够在最终提款前,悄悄在资金库中移动资金。
截至目前,已被盗金额总计1.166亿美元,涉及多个资产和网络,包括以太坊、Arbitrum、Base 和 Polygon。被盗的主要资产包括6587个WETH、6851个osETH和4260个wstETH,早前的事故报告已确认这些数据。
受影响的协议之一StakeWise成功追回了近 $116 百万的osETH,约占被盗总额的73.5%。这些资金将根据用户在黑客攻击前的余额返还,但部分资产已被攻击者转换为ETH,无法追回。
Balancer及其安全合作伙伴仍在审查事件,追查丢失的资产,持续进行缓解和恢复工作。根据官方事故报告,事件发生后,安全团队已暂停所有受影响的资金池,禁止新池创建,并停止对被认定为易受攻击池的奖励。
在整个DeFi领域,多个团队也采取措施限制损失和遏制攻击者行动。例如,Sonic Labs 对与黑客事件相关的账户实施了紧急冻结,Berachain 验证节点也短暂暂停了网络,以防资金转移。其他合作伙伴如Monerium和Gnosis也引入了资产冻结或阻断措施,作为协调行动的一部分。
白帽团队和支持机器人通过拦截交易,成功追回部分资产,甚至返还了数十万美元。这些行动结合了自动化系统和人工追踪,形成了多层次的资产追缴策略。
Balancer 表示,一旦所有受影响的资金池和交易被验证完毕,将发布最终报告,确认追回总额和状态。在此之前,用户应避免与受影响的合约交互,并关注官方渠道的最新动态,因为相关审查和调节工作仍在进行中。
