Balancer снова был взломан, на этот раз убытки еще больше.

3 ноября Balancer был атакован из-за уязвимости 0day; небольшой баг «округления» позволил Хакеру вывести 128 миллионов долларов. Звучит абсурдно, но это реальность Децентрализованных финансов — даже крупный протокол, который прошел 11 аудитов, не может предотвратить ошибку в одной строке кода.

Наиболее трогательные данные

Сумма кражи: 128 миллионов долларов США (по 7 цепочкам), из которых 99 миллионов в Эфириуме – самые большие потери.

Падение TVL: 443M → 186M, за 48 часов испарилось 58%, общие потери составили 2.57 миллиарда

Токен BAL упал всего на 6%, что наоборот говорит о том, что рынок все еще уверен в версии V3.

Хронология событий

Хакер манипулировал пакетными свопами через rounding error в пуле Composable Stable V2, постепенно выкачивая ликвидность. Команда Balancer отреагировала достаточно быстро, заморозив уязвимый пул в течение минут, не позволив ситуации ухудшиться.

В настоящее время было возвращено 33M (вмешательство этичных хакеров), хард-форк Berachain вернул 12,8M, StakeWise спасли 20M.

Более глубокие вопросы

В общей сложности потеряно 257 миллионов, из которых 128 миллионов было украдено непосредственно, но из-за паники произошло еще больше оттока средств. Это показывает, что стоимость доверия в Децентрализованных финансах выше фактических убытков.

В этом году в Децентрализованные финансы было взломано более 2,2 миллиарда долларов, Balancer попал в топ-2. Те гордые характеристики «прозрачности и композиции» в свете безопасности также стали двусторонним мечом — один элемент лопается, весь домик из кубиков начинает шататься.