最近,以太坊自动做市商和去中心化金融(DeFi)协议 Balancer 发现自己陷入了一个漏洞,导致近 90 万美元的巨额损失。这一令人不安的事件是通过以下网站发布的一份声明曝光的X(原 Twitter) 8 月 27 日。该协议公开披露了一个漏洞,该漏洞给生态系统中的多个池蒙上了阴影。
区块链安全权威专家 Meier Dolev 揭示了该漏洞背后的所谓攻击者。这位区块链领域的专家公布了一个据称与攻击者有关的以太坊地址。漏洞发生后,发生了一系列精心策划的事件,上述地址遭遇了两笔 Dai 稳定币转账。这些交易的金额分别为 636,812 美元和 257,527 美元,策划了一场错综复杂的资金舞,最终导致累积余额飙升至 893,978 美元以上。
暴露漏洞是否导致了漏洞利用?
8 月 22 日,Balancer 迈出了决定性的一步,公布了渗入其增强型资金池的关键漏洞 https://forum.balancer.fi/t/vulnerability-found-in-some-pools/5102?u=endymionjkb。平台向用户发出号召,敦促他们从流动性提供商账户中撤出资金。同时,该平台主动按下了受影响资金池的暂停按钮,这一战略举措旨在遏制潜在的影响。
据了解,以太坊、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom 和 zkEVM 等多种资产都受到了该漏洞的威胁。
该漏洞最初规模有限,发现当天仅占Balancer全部资产库存的1.4%。计算得出的总金额超过了500万美元--这充分证明了该平台相当大的资产牵引力。
随着事件的发展,日期转移到了 8 月 24 日,突出表明即使在这个时刻,仍然存在显著的风险敞口。具体而言,风险价值至少达到 280 万美元,相当于 Balancer'综合锁定总价值(TVL)的 0.42%。
截至 8 月 25 日,超过 99.7% 的最初被视为脆弱的流动性现已安全,但仍有 0.08% 的 TVL 处于风险之中。
在 Balancer' 首次披露漏洞之后,出现了一个值得注意的趋势,即用户迅速策划撤回大量资金。然而,这一反应引发了市场参与者的质疑。问题迫在眉睫:为什么协议从一开始就选择将这一问题推向风口浪尖?
虽然 Balancer 团队尚未提交详细说明该漏洞错综复杂性的全面事后报告,但 Web3 审计公司 Hacken 已提出了一些见解。该公司表示,漏洞背后的根本触发因素已被成功定位,Balancer 团队正在积极开展修复工作。