ハッカーがBalancer DeFiプロトコルから$120 百万を盗む

ハッカーはBalancerのV2プールの脆弱性を悪用し、$120 百万以上の損失を引き起こしました。

攻撃は、ボールトコールにおける精密な丸め誤差または不正な契約操作を含んでいました。

侵害後、フィッシング詐欺が発生し、ハッカーを騙して盗まれた資金を返還させようとしました。

Balancerは、分散型金融(DeFi)プラットフォームであり、ハッカーがそのV2プールを悪用し、$120 百万以上の損失をもたらしたことを確認しました。この事件は、プロトコルのV2コンポスタブルステーブルプールを標的にしたものであり、今年のDeFiプロトコルに対する最大の攻撃の一つです。Balancerはこの事件の調査を続けていますが、攻撃に関連する潜在的な詐欺に対してユーザーに警告しています。

攻撃の詳細と方法

攻撃はUTC午前7時48分に発生し、ハッカーがBalancerのV2 Vaultシステムの脆弱性を悪用しました。GoPlus Securityによると、この脆弱性はプラットフォームのスワップ計算における精度の丸め誤差に起因していました。これらの誤差はスワップ中のトークン量に小さな不一致を引き起こし、攻撃者はそれを利用しました。バッチスワップ機能を通じて複数のスワップを連鎖させることにより、ハッカーは大規模な価格歪曲を生み出すことができました。

別の説明は、BalancerのV2ボールト内での不適切な認証とコールバック処理に起因しています。セキュリティ専門家のアディティヤ・バジャジは、悪意のある契約がプール初期化中にボールト呼び出しを操作したと指摘しました。これにより、プロトコルの安全装置を回避し、相互接続されたプール間での未承認のスワップやバランス操作が可能になりました。これらの異なる説明にもかかわらず、Balancerは攻撃の正確な方法をまだ確認していません。しかし、同社は主要なセキュリティ研究者と協力して、侵害の評価とその全体的な範囲を理解するために取り組んでいます。

ハッキングはバランサーのV2プールのみに限定され、V3のような他のプールには達しませんでした。チームは自らのチャネルを通じてコミュニケーションを取り、調査を約束しました。バランサーはすでにこの件について発言し、調査が終了した際には事後報告を約束しています。バランサーは2021年以降、異なるレベルの精査を受けて11回監査されていますが、その監査を回避する方法が見つかってしまいました。この事件は、DeFiプロトコルのために現在のセキュリティ対策の限界について考えさせられます。

ハッカーを狙ったフィッシング詐欺

攻撃の後、ハッカーを騙して盗まれたお金を返すように仕向ける欺瞞的なメッセージが現れました。このメッセージはBalancerを装っており、ハッカーに盗まれた資金の残りの額の返還に対して20%の「ホワイトハット報酬」を提供していました。詐欺師はハッカーを従わせるためにブロックチェーンの脅威を利用していました。Balancerはユーザーに警告を発し、フィッシングの試みがあり、非常に注意するべきだと述べました。

Balancerに対する攻撃の事件は、DeFi空間が将来直面するセキュリティの課題について明確なイメージを提供します。これは、セキュリティのダイナミクスが常に変化しているためです。しかし、このハッキングは特定のグループに関連付けられていません。ただし、北朝鮮のハッカーが今年いくつかのDeFiハイストの背後にいると報告されています。

合計で、$2 億ドル以上の暗号通貨が北朝鮮の盗難と関連しており、そのためDeFiプラットフォームは引き続き巨大なセキュリティ問題に悩まされています。現在、Balancerはプラットフォームを保護し、さらなる悪用を防ぐためのプロセスにあります。侵害に関する詳細情報および講じられた措置は、調査が終了した後に開示されます。