Balancerは$116m ハッキングの根本原因を特定しました

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancerが最近のプラットフォームを揺るがせたハッキングの技術的根本原因を明らかにしました。

概要

• Balancerは、「アップスケール」機能の丸め誤差バグを攻撃の原因と特定し、複数のネットワークにわたる資産流出を引き起こしたことを確認。
• 被害額は$116 百万ドルにのぼり、Ethereum、Arbitrum、Base、Polygonにまたがる損失が発生。StakeWiseは影響を受けたユーザーのために約$19 百万ドルのosETHを回収。
• 現在も回復作業が進行中で、プロトコルとパートナーは脆弱なプールの凍結、盗まれた資金の追跡、資産調整の最終報告書作成に取り組んでいます。

DeFiプロトコルBalancerは、11月3日に発生したハッキングの根本原因として、「アップスケール」関数の丸め処理の内部バグを特定しました。最近公開された予備報告書によると、この関数はトークンスワップ時に使用されており、攻撃者によって複数のネットワークで悪用され、WETH、osETH、wstETHなどの資産が迅速に流出したといいます。

攻撃者は、非整数のスケーリングファクターの扱いを悪用し、プールのバランスを操作して資金を引き出しました。Balancerは、この侵害によりハッカーが資金を密かにヴォールト内で移動させた後、最終的に引き出すことが可能になったと明らかにしています。

総額は1億1660万ドルに達し、Ethereum、Arbitrum、Base、Polygonなど複数の資産とネットワークにわたる損失となりました。盗まれたトークンの中で、最も多かったのは6,587 WETH、6,851 osETH、4,260 wstETHであり、これらは以前の報告と事件報告書で確認されています。

影響を受けたプロトコルの一つ、StakeWiseは、約$116 百万ドル相当のosETHを回収し、総流出額の約73.5％に相当します。これらの資金は、ハッキング前のユーザーの残高に基づき返還される予定ですが、一部の資産は攻撃者によってETHに変換されており、取り戻せない状態になっています。

Balancerの回復措置

Balancerとそのセキュリティパートナーは、引き続きインシデントの監査と資金の調整を行っており、緩和と回復の努力を継続しています。ハッキング後、セキュリティチームは影響を受けたすべてのプールを一時停止し、新規プールの作成を無効化、脆弱と判明したプールの報酬も停止しました。これらの措置は、公式のインシデント報告書に記載されています。

また、DeFiの他のチームも損失を最小限に抑え、攻撃者の動きを封じるための措置を講じました。Sonic Labsはハッキングに関連するアカウントの緊急凍結を実施し、Berachainのバリデータは資金の移動を防ぐためにネットワークを一時停止。MoneriumやGnosisなどのパートナーも、資産の凍結やブロックを行うコントロールを導入しました。

ホワイトハットチームや支援ボットは、資産を取り戻すためのトランザクションを傍受し、一部は数十万ドルの資産を回収しています。これらの努力は、自動化システムと手動による追跡の両面から行われ、層状の資産回収戦略を構築しています。

Balancerは、すべての影響を受けたプールとトランザクションの検証が完了次第、最終報告書を公開し、回収状況と確定した合計額を発表する予定です。それまでは、ユーザーは影響を受けたコントラクトを避け、公式チャンネルを通じて最新情報を追うよう推奨されています。