في ٢٢ أغسطس، تلقت شركة Balancer Labs، وهي مديرة محفظة غير وصي ومزودة للسيولة ومستشعرة للأسعار، تقارير عن وجود ثغرة أمنية هائلة تؤثر على العديد من مجموعات القروض الخاصة بها.
ولم يتم تنفيذ أي هجمات في ذلك الوقت، لكن هذا تغير مؤخرًا.
تنبيه المجتمع
بمجرد اكتشاف الثغرة، أصدر مطورو Balancer تحذيرًا لمستخدميهم، مشيرين إلى أن بعض المجمعات قد تم بالفعل تصنيفها على أنها آمنة ، ووعدوا بتحليل الوضع بعد الوفاة بمجرد أن يصبح التصحيح جاهزًا.
ولضمان سلامة أموالهم، تم توجيه المستخدمين إلى بوابة تم إنشاؤها حديثًا والتي ستسمح لهم بالتحقق مما إذا كانت ممتلكاتهم معرضة للخطر أم لا. ومع ذلك، أوصى المطورون بأن يقوم المستخدمون بسحب أموالهم مؤقتًا من جميع المجمعات كإجراء أمان إضافي.
ولسوء الحظ، لم يصل هذا التحذير إلى آذان الجميع، وبعد أسبوع تقريبًا، حدث ما لا مفر منه.
تم تأكيد الاستغلال من قبل باحثي CyberSec
أكدت شركة Balancer الليلة الماضية على X أن إحدى عمليات الاستغلال قد حدثت أخيرًا وحثت مستخدميها مرة أخرى على سحب أموالهم لتجنب المزيد من عمليات الاستغلال.
"إن Balancer على علم بوجود استغلال يتعلق بالثغرة الأمنية المذكورة أدناه. لقد أدت إجراءات التخفيف إلى تقليل المخاطر بشكل كبير، ولكنها غير قادرة على إيقاف المجمعات المتضررة مؤقتًا. لمنع المزيد من عمليات الاستغلال، يجب على المستخدمين التقاعد من LPs المتأثرة.
تم تأكيد الاستغلال أيضًا من قبل مئير دوليف، المؤسس والرئيس التنفيذي للتكنولوجيا لشركة Web3 الأمنية CyverAI.
Balancer على علم باستغلال يتعلق بالثغرة الأمنية التالية.
لقد أدت إجراءات التخفيف إلى تقليل المخاطر بشكل كبير، ولكنها غير قادرة على إيقاف المجمعات المتضررة مؤقتًا.
لمنع المزيد من عمليات الاستغلال، يجب على المستخدمين التقاعد من LPs المتأثرة. https://t.co/PDzX32gqeS https://t.co/b4CSqVFbDg
– موازن (@ Balancer) 27 أغسطس 2023
تم تنفيذ الهجوم عبر ثلاث معاملات DAI منفصلة، جميعها تعود إلى نفس المحفظة.
كان الأول هو الأكبر على الإطلاق - حيث بلغت قيمته أكثر من 600 ألف دولار. وتلت ذلك معاملتان صغيرتان كلفتا مجموعتي القروض أكثر من 250 ألف دولار و85 ألف دولار على التوالي.
وعلى الرغم من أنه لم يكن ضارًا مثل الثغرات الأخرى التي حدثت في وقت سابق من هذا العام، إلا أن المتسلل تمكن من سرقة كمية كبيرة من الأموال غير المشروعة.
لقد شعر مجتمع Balancer بالفزع من الأخبار، حيث نصح بعض المستخدمين المطورين بالعثور على صناعة جديدة للعمل فيها.
في المجمل، كلفت ثغرة العقد الذكي غير المصححة شركة Balancer أكثر من 970 ألف دولار. لا شك أن تقرير التشريح الموعود سيتعين إعادة صياغته ليشمل حقيقة أن هذا الاستغلال تم اكتشافه بواسطة ممثل سيء آخر، على الرغم من أن المتسلل المعني قد تم إبلاغه على الأرجح من خلال التحذير المنشور في منتدى Balancer.
تم استنزاف ما يقرب من مليون دولار من منشور Balancer بعد أيام من الكشف عن الثغرة الأمنية التي ظهرت لأول مرة على CryptoPotato .