Balancer遭到攻擊，$128M 從保險庫中轉移

去中心化金融 (去中心化金融) 協議 Balancer 在遭受惡意攻擊後損失了$128 百萬。鏈上數據表明，已從協議的保險庫中提現超過$128 百萬的資產。

被盜資金包括osETH、WETH和wstETH，攻擊者在整合被盜資產，令人擔憂洗錢問題。

Balancer 被漏洞利用攻擊

Balancer，一個知名的去中心化金融 (DeFi) 協議，遭遇了一次重大漏洞，鏈上數據顯示超過 $128 百萬資產已被轉移到一個新錢包。根據區塊鏈數據，被盜資金包括 6,850 osETH、6,590 WETH 和 4,260 wstETH，此次黑客攻擊影響了 Balancer v2 的金庫。該協議的 v2 金庫充當其核心流動性引擎，聚合代幣並促進流動性池之間的交易。Balancer 團隊在 X 上確認了此次黑客事件，聲明，

“我們已注意到可能影響 Balancer v2 流動性池的漏洞。我們的工程和安全團隊正以高優先級進行調查。我們會盡快分享經過驗證的更新和後續步驟。”

Sonic、Polygon 和 Base 上的保險庫也受到影響

Trading Strategy的聯合創始人兼首席執行官Mikko Ohtamaa指出，初步分析顯示此次攻擊的主要原因是一個有缺陷的智能合約。他補充道，雖然並非所有的Balancer版本都受到影響，但如果較舊的v2分叉共享攻擊者使用的相同漏洞，損失可能會更高。安全公司PeckShield表示，攻擊仍在多個部署了Balancer的鏈上進行。

攻擊是如何展開的

根據安全公司Decurity的說法，此次攻擊是由於Balancer的“manageUserBalance”功能中的訪問控制故障引起的。該漏洞出現在ValidateUserBalanceOp中，該功能將msg.sender與用戶提供的op.sender進行檢查，這是一個邏輯缺陷，允許通過UserBalanceOpKind.WITHDRAW_INTERNAL操作進行未經授權的提款。

簡單來說，這個漏洞允許攻擊者在沒有必要權限的情況下，從Balancer的智能合約中觸發內部餘額提取。

“Balancer 中的 manageUserBalance 在 _validateUserBalanceOp 中有一個錯誤的訪問檢查，它會根據用戶提供的 op.sender 檢查 msg.sender。它允許執行 UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1)。

鏈上安全專家指出，攻擊者的地址已經開始整合資產，這引發了人們對他們準備通過去中心化混合器洗錢的擔憂。

第三次漏洞

Balancer是一個建立在以太坊上的去中心化平台，允許用戶交易代幣並使用其自我平衡池提供流動性。該協議自2020年起活躍，單在以太坊上就持有超過$350 百萬的TVL。最新事件是Balancer已知的第三起安全漏洞。該平台之前在2021年和2023年遭受過攻擊，損失數百萬。鏈上專家表示，金庫是Balancer的主要智能合約，持有來自每個Balancer池的代幣。

該設計在Balancer v2中引入，將代幣會計與池邏輯分開，使池更小、更簡單且更安全。這種方法允許任何人插入新的池設計，而無需創建新的DEX。

免責聲明：本文僅用於信息參考。並不提供或意圖作爲法律、稅務、投資、金融或其他方面的建議。