黑客从Balancer去中心化金融协议盗取超过$120 百万

黑客利用了 Balancer 的 V2 池中的一个漏洞，导致超过 $120 百万的损失。

此次攻击涉及精确的舍入错误或在金库调用中的未经授权的合约操控。

在数据泄露后，网络钓鱼诈骗相继出现，试图欺骗黑客归还被盗资金。

Balancer，一个去中心化金融(DeFi)平台，已确认黑客利用其V2池进行攻击，导致超过$120 百万的损失。此次事件针对协议的V2可组合稳定池，标志着今年对DeFi协议的最大攻击之一。尽管Balancer继续调查此事件，但已警告用户注意与此次攻击相关的潜在诈骗。

攻击详情和方法

攻击发生在协调世界时上午7:48，当时黑客利用了Balancer V2 Vault系统中的一个漏洞。根据GoPlus Security的说法，漏洞源于平台交换计算中的精度舍入错误。这些错误导致交换过程中代币数量的轻微差异，黑客利用了这一点。通过在batchSwap函数中链接多个交换，黑客能够制造大规模的价格扭曲。

另一个关于此次漏洞的解释指向了Balancer V2保险库内部的不当授权和回调处理。安全专家Aditya Bajaj指出，一个恶意合约在池初始化期间操控了保险库调用。这使得未授权的交换和跨互联池的余额操控成为可能，绕过了协议的保护措施。尽管有这些不同的解释，Balancer尚未确认攻击的确切方法。然而，该公司正在与领先的安全研究人员合作，以评估此次泄露并了解其全部范围。

此次黑客攻击仅限于Balancer的V2池，并未波及V3等其他池。团队通过他们的渠道进行了沟通，并承诺进行调查。Balancer已经就此事发表了观点，并承诺在调查结束后提供事后报告。尽管自2021年以来，Balancer已接受了11次审计，审计的严格程度各不相同，但这一漏洞仍然找到了绕过这些审计的方法。此次事件让人思考当前DeFi协议安全措施的局限性。

针对黑客的网络钓鱼诈骗

在攻击之后，出现了一条欺骗性的消息，意图误导黑客归还被盗的资金。这条消息假冒Balancer，向黑客提供了20%被盗资金作为"白帽赏金"以换取其余金额的归还。欺诈者利用区块链的威胁来安抚黑客屈服。Balancer向其用户发出警告，称存在钓鱼企图，他们应该非常小心。

对Balancer攻击事件的分析清晰地展示了DeFi领域未来将面临的安全挑战，因为安全动态不断变化。然而，这次黑客攻击并没有与任何特定团体关联；不过，有报道称朝鲜黑客今年参与了几起DeFi盗窃案。

总的来说，超过 $2 亿的加密货币与朝鲜盗窃有关，因此，DeFi 平台持续面临巨大的安全问题。目前，Balancer 正在加固其平台并停止进一步的利用。关于此次漏洞的信息以及采取的措施将在调查结束后披露。