Balancer identifie la cause profonde du $116m hack

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer a identifié la cause technique derrière le récent piratage qui a secoué sa plateforme.
Résumé

• Balancer a détecté un bug de rounding dans sa fonction “upscale” comme étant à l’origine de l’exploitation qui a drainé des actifs sur plusieurs réseaux.
• Plus de $116 millions ont été volés, avec des pertes couvrant Ethereum, Arbitrum, Base et Polygon, bien que StakeWise ait récupéré $19 millions d’osETH pour les utilisateurs affectés.
• Les efforts de récupération sont en cours, le protocole et ses partenaires gelant les pools vulnérables, traçant les fonds volés, et préparant un rapport final sur la réconciliation des actifs.

Le protocole DeFi Balancer a identifié un bug interne dans la logique d’arrondi de la fonction “upscale” comme étant à l’origine de l’exploitation du 3 novembre qui a drainé plus de $116 millions de dollars de sa plateforme. Selon un rapport préliminaire récemment publié, cette fonction, utilisée lors des échanges de tokens, a été exploitée par des attaquants sur plusieurs réseaux, entraînant des pertes rapides de WETH, osETH et wstETH, qui ont été siphonnés lors de plusieurs transactions.

Les attaquants ont profité de la façon dont le code gérait les facteurs d’échelle non entiers pour manipuler les soldes des pools et drainer la valeur. Balancer a révélé que la faille a permis aux hackers de déplacer discrètement des fonds dans les coffres avant le retrait final.

Au total, 116,6 millions de dollars ont été volés lorsque la poussière est retombée, avec des pertes couvrant plusieurs actifs et réseaux, notamment Ethereum, Arbitrum, Base et Polygon. Parmi les tokens volés, les plus importants incluaient 6 587 WETH, 6 851 osETH et 4 260 wstETH, comme rapporté précédemment et confirmé dans le rapport d’incident.

StakeWise, l’un des protocoles affectés, a réussi à récupérer près de $19 millions d’osETH, ce qui représente environ 73,5 % du total drainé pour cet actif. Ces fonds seront restitués aux utilisateurs impactés selon leurs soldes avant le piratage, bien que l’attaquant ait également converti certains actifs en ETH, les rendant irrécupérables.

Actions de récupération de Balancer

Balancer et ses partenaires en sécurité continuent d’auditer l’incident et de réconcilier les fonds perdus, avec des efforts de mitigation et de récupération en cours. Suite à l’exploitation, les équipes de sécurité ont mis en pause tous les pools affectés, désactivé la création de nouveaux pools, et suspendu les récompenses pour tous les pools identifiés comme vulnérables, selon le rapport officiel du projet.

Plusieurs équipes dans l’espace DeFi ont également pris des mesures pour limiter les pertes et contenir les mouvements des attaquants. Des protocoles comme Sonic Labs ont effectué un gel d’urgence sur les comptes liés au piratage, tandis que les validateurs de Berachain ont brièvement suspendu leur réseau pour empêcher le déplacement des fonds. D’autres partenaires, comme Monerium et Gnosis, ont introduit des contrôles pour geler ou bloquer les actifs dans le cadre d’un arrêt coordonné.

Les équipes Whitehat et les bots de soutien ont intercepté des transactions pour récupérer des actifs, certains parvenant à restituer des centaines de milliers de dollars. Ces efforts proviennent à la fois de systèmes automatisés et de traçages manuels, adoptant une approche en couches pour la récupération des actifs.

Balancer a noté qu’une fois que tous les pools et transactions affectés seront vérifiés, un rapport final sera publié avec les totaux confirmés et l’état des récupérations. En attendant, il est conseillé aux utilisateurs d’éviter les contrats impactés et de suivre les mises à jour via les canaux officiels, car d’autres vérifications et réconciliations sont en cours.