(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer 已揭示近期震撼其平台的黑客事件的技術根本原因。
摘要
去中心化金融協議 Balancer 已確認其「升級」函數中的內部四捨五入邏輯存在漏洞,成為 11 月 3 日黑客攻擊事件的根本原因,該事件導致其平台資產被盜超過 $116 百萬美元。根據最新公布的初步報告,該函數在代幣交換過程中被攻擊者利用,跨多個網絡進行操作,迅速損失了 WETH、osETH 和 wstETH,並在數次交易中被抽走。
攻擊者利用該函數處理非整數縮放因子的方式,操縱池子餘額並抽取價值。Balancer 指出,這次漏洞使得黑客能在最終提款前,悄悄地在金庫中轉移資金。
在事件平息後,總共被盜資金達到 1.166 億美元,損失涵蓋多種資產與多個網絡,包括以太坊、Arbitrum、Base 和 Polygon。被盜的主要代幣包括 6,587 WETH、6,851 osETH 和 4,260 wstETH,這些數據已在事故報告中確認。
受影響的協議之一 StakeWise 已成功回收近 $19 百萬美元的 osETH,約佔該資產被盜總額的 73.5%。這些資金將根據用戶在黑客事件前的餘額返還,但攻擊者也將部分資產轉換為 ETH,使部分資金無法追回。
Balancer 及其安全合作夥伴仍在審查事件並調查資金損失,持續進行緩解與恢復工作。事件發生後,安全團隊已暫停所有受影響的流動池,禁止新池創建,並停止對被列為易受攻擊池的獎勵,相關措施已在官方事故報告中說明。
在更廣泛的 DeFi 領域,也有多個團隊採取行動限制損失並追蹤攻擊者行動。例如,Sonic Labs 實施了緊急凍結與黑客相關的帳戶,Berachain 的驗證者也短暫停止了網絡運作,以防資金轉移。其他合作夥伴如 Monerium 和 Gnosis,也引入控制措施,凍結或阻止資產流動,進行協調性停止。
白帽團隊與支援機器人也積極介入,攔截交易並追回部分資產,成功返還數十萬美元。這些努力結合自動化系統與人工追蹤,形成多層次的資產追蹤與回收策略。
Balancer 表示,待所有受影響的流動池與交易經過驗證後,將公布最終報告,確認資金總額與回收狀況。在此之前,建議用戶避免與受影響的合約互動,並密切關注官方渠道的最新消息,因為調查與調整工作仍在進行中。
