Balancer mengidentifikasi penyebab utama dari $116m peretasan

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer telah mengungkap penyebab teknis utama di balik peretasan terbaru yang mengguncang platformnya.
Ringkasan

• Balancer mengidentifikasi bug pembulatan dalam fungsi “upscale” sebagai penyebab eksploitasi yang menguras aset di berbagai jaringan.
• Lebih dari $116 juta dolar dicuri, dengan kerugian yang meliputi Ethereum, Arbitrum, Base, dan Polygon, meskipun StakeWise berhasil memulihkan $19 juta osETH untuk pengguna yang terdampak.
• Upaya pemulihan sedang berlangsung, saat protokol dan mitra membekukan pool yang rentan, melacak dana yang dicuri, dan menyiapkan laporan akhir tentang rekonsiliasi aset.

Protokol DeFi Balancer telah mengidentifikasi bug internal dalam logika pembulatan fungsi “upscale” sebagai penyebab utama eksploitasi pada 3 November yang menguras lebih dari $116 juta dari platformnya. Menurut laporan awal yang baru dipublikasikan, fungsi ini, yang digunakan saat pertukaran token, dieksploitasi oleh penyerang di berbagai jaringan, menyebabkan kerugian cepat berupa WETH, osETH, dan wstETH yang diambil dalam beberapa transaksi.​

Penyerang memanfaatkan cara kode menangani faktor skala non-integer untuk memanipulasi saldo pool dan menguras nilai. Balancer mengungkapkan bahwa pelanggaran ini memungkinkan peretas memindahkan dana secara diam-diam di dalam vault sebelum penarikan akhir.

Total, sekitar $116,6 juta dicuri saat situasi mulai terkendali, dengan kerugian meliputi berbagai aset dan jaringan, termasuk Ethereum, Arbitrum, Base, dan Polygon. Di antara token yang dicuri, jumlah terbesar termasuk 6.587 WETH, 6.851 osETH, dan 4.260 wstETH, seperti yang dilaporkan dan dikonfirmasi dalam laporan insiden sebelumnya.​

StakeWise, salah satu protokol yang terdampak, berhasil memulihkan hampir $19 juta osETH, yang setara dengan sekitar 73,5% dari total yang diambil untuk aset tersebut. Dana ini akan dikembalikan kepada pengguna yang terdampak sesuai dengan saldo mereka sebelum peretasan, meskipun penyerang juga telah mengonversi beberapa aset menjadi ETH, sehingga tidak dapat dipulihkan.​

Langkah Pemulihan Balancer

Balancer dan mitra keamanannya masih melakukan audit terhadap insiden dan rekonsiliasi dana yang hilang, dengan upaya mitigasi dan pemulihan yang sedang berlangsung. Setelah eksploitasi, tim keamanan menghentikan semua pool yang terdampak, menonaktifkan pembuatan pool baru, dan menghentikan pemberian reward untuk pool yang dianggap rentan, menurut laporan resmi insiden proyek.

Beberapa tim di ruang DeFi yang lebih luas juga mengambil langkah untuk membatasi kerugian dan mengendalikan pergerakan penyerang. Protokol seperti Sonic Labs melakukan pembekuan darurat pada akun yang terkait dengan peretasan, sementara validator Berachain sementara menghentikan jaringan mereka untuk mencegah dana berpindah. Mitra lain, seperti Monerium dan Gnosis, memperkenalkan kontrol untuk membekukan atau memblokir aset sebagai bagian dari penghentian terkoordinasi.​

Tim whitehat dan bot pendukung mereka mengintersep transaksi untuk merebut kembali aset, dengan beberapa berhasil mengembalikan ratusan ribu dolar. Upaya ini berasal dari sistem otomatis dan pelacakan manual, membangun pendekatan berlapis untuk pemulihan aset.​

Balancer mencatat bahwa setelah semua pool dan transaksi yang terdampak diverifikasi, laporan akhir akan dipublikasikan dengan total yang dikonfirmasi dan status pemulihan. Sampai saat itu, pengguna disarankan untuk menghindari kontrak yang terdampak dan mengikuti pembaruan melalui saluran resmi, karena proses peninjauan dan rekonsiliasi masih berlangsung.​