Balancer ระบุสาเหตุหลักของการแฮ็ก $116m

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer ได้เปิดเผยสาเหตุทางเทคนิคเบื้องหลังการแฮ็กล่าสุดที่สร้างความสั่นสะเทือนให้กับแพลตฟอร์มของตน
สรุป

• Balancer ระบุว่าบั๊กการปัดเศษในฟังก์ชัน “upscale” เป็นสาเหตุของการโจมตีที่ทำให้ทรัพย์สินถูกถอนออกจากหลายเครือข่าย
• มีการโจรกรรมมูลค่ากว่า $116 ล้านดอลลาร์ โดยความเสียหายครอบคลุม Ethereum, Arbitrum, Base และ Polygon อย่างไรก็ตาม StakeWise ได้กู้คืน osETH มูลค่า $19 ล้านดอลลาร์ให้กับผู้ใช้ที่ได้รับผลกระทบ
• ความพยายามในการกู้คืนยังคงดำเนินต่อไป โดยโปรโตคอลและพันธมิตรได้ทำการระงับพูลที่เสี่ยง ติดตามเงินที่ถูกโจรกรรม และเตรียมรายงานสุดท้ายเกี่ยวกับการปรับสมดุลทรัพย์สิน

โปรโตคอล DeFi Balancer ได้ระบุว่าบั๊กภายในในตรรกะการปัดเศษของฟังก์ชัน “upscale” เป็นสาเหตุหลักของการโจมตีเมื่อวันที่ 3 พฤศจิกายน ซึ่งทำให้ทรัพย์สินมูลค่ากว่า $116 ล้านดอลลาร์ถูกถอนออกจากแพลตฟอร์มของตน ตามรายงานเบื้องต้นที่เผยแพร่เมื่อเร็ว ๆ นี้ ฟังก์ชันนี้ ซึ่งใช้ในระหว่างการแลกเปลี่ยนโทเค็น ถูกโจมตีโดยแฮกเกอร์บนหลายเครือข่าย ส่งผลให้เกิดการสูญเสีย WETH, osETH และ wstETH อย่างรวดเร็วในหลายธุรกรรม

แฮกเกอร์ใช้ประโยชน์จากวิธีที่โค้ดจัดการกับตัวคูณที่ไม่ใช่จำนวนเต็มเพื่อปรับสมดุลของพูลและดูดทรัพย์สินออกไป Balancer เปิดเผยว่าการละเมิดนี้อนุญาตให้แฮกเกอร์เคลื่อนย้ายเงินอย่างลับ ๆ ภายในคลังเก็บก่อนที่จะทำการถอนสุดท้าย

โดยรวมแล้ว มีมูลค่ากว่า 116.6 ล้านดอลลาร์ถูกโจรกรรมไปเมื่อเหตุการณ์สงบลง โดยความเสียหายครอบคลุมหลายทรัพย์สินและเครือข่าย รวมถึง Ethereum, Arbitrum, Base และ Polygon ทรัพย์สินที่ถูกโจรกรรมมากที่สุดประกอบด้วย WETH จำนวน 6,587 โทเค็น, osETH จำนวน 6,851 โทเค็น และ wstETH จำนวน 4,260 โทเค็น ซึ่งเป็นข้อมูลที่รายงานและยืนยันในรายงานเหตุการณ์ก่อนหน้านี้

StakeWise ซึ่งเป็นหนึ่งในโปรโตคอลที่ได้รับผลกระทบ สามารถกู้คืน osETH มูลค่าเกือบ $19 ล้านดอลลาร์ คิดเป็นประมาณ 73.5% ของยอดรวมที่ถูกถอนออกสำหรับทรัพย์สินนี้ เงินเหล่านี้จะถูกส่งคืนให้กับผู้ใช้ที่ได้รับผลกระทบตามยอดคงเหลือก่อนเกิดเหตุการณ์แฮ็ก แต่แฮกเกอร์ก็ได้แปลงทรัพย์สินบางส่วนเป็น ETH ทำให้ไม่สามารถกู้คืนได้อีกต่อไป

การดำเนินการกู้คืนของ Balancer

Balancer และพันธมิตรด้านความปลอดภัยของตนยังคงดำเนินการตรวจสอบเหตุการณ์และปรับสมดุลทรัพย์สินที่สูญเสียไป พร้อมกับดำเนินมาตรการบรรเทาและกู้คืนอย่างต่อเนื่อง หลังจากการโจมตี ทีมด้านความปลอดภัยได้ระงับพูลที่ได้รับผลกระทบทั้งหมด ปิดการสร้างพูลใหม่ และหยุดรางวัลสำหรับพูลที่ถูกระบุว่ามีความเสี่ยง ตามรายงานเหตุการณ์อย่างเป็นทางการของโปรเจกต์

นอกจากนี้ ทีมงานในวงการ DeFi ยังได้ดำเนินการเพื่อจำกัดความเสียหายและควบคุมการเคลื่อนไหวของแฮกเกอร์ เช่น Protocol อย่าง Sonic Labs ได้ดำเนินการแช่แข็งบัญชีที่เชื่อมโยงกับการโจมตีอย่างเร่งด่วน ขณะที่ Berachain validators ก็ได้หยุดเครือข่ายชั่วคราวเพื่อป้องกันการเคลื่อนย้ายของทรัพย์สิน พันธมิตรอื่น ๆ เช่น Monerium และ Gnosis ก็ได้แนะนำมาตรการควบคุมเพื่อหยุดหรือบล็อกทรัพย์สินเป็นส่วนหนึ่งของการหยุดชะงักร่วมกัน

ทีม Whitehat และบอทสนับสนุนได้แทรกแซงธุรกรรมเพื่อกู้คืนทรัพย์สิน โดยบางส่วนสามารถคืนเงินได้หลายแสนดอลลาร์ ความพยายามเหล่านี้มาจากระบบอัตโนมัติและการติดตามด้วยมือ ซึ่งสร้างแนวทางหลายชั้นในการกู้คืนทรัพย์สิน

Balancer ระบุว่า เมื่อการตรวจสอบพูลและธุรกรรมที่ได้รับผลกระทบทั้งหมดเสร็จสมบูรณ์แล้ว จะมีการเผยแพร่รายงานสุดท้ายพร้อมยอดรวมที่ยืนยันและสถานะของการกู้คืน จนกว่าจะถึงเวลานั้น ผู้ใช้ควรหลีกเลี่ยงการทำธุรกรรมกับสัญญาที่ได้รับผลกระทบและติดตามข้อมูลอัปเดตผ่านช่องทางทางการ เนื่องจากการตรวจสอบและการปรับสมดุลยังคงดำเนินต่อไป