Команда Berachain Foundation инициировала экстренный хардфорк после взлома Balancer на $128 млн. Сеть остановили для устранения уязвимости в нативной децентрализованной бирже под названием BEX.
Уязвимость в BEX — форке Balancer V2 — стала частью более крупной атаки. 3 ноября взлом затронул пулы DeFi-протокола в сетях Ethereum, Arbitrum, Base и Polygon. Из ликвидности пары ENA/HONEY на BEX вывели около $12 млн.
По данным аналитиков Nansen, причиной инцидента стал сбой в механизме контроля доступа. Он позволил злоумышленнику сгенерировать фиктивные комиссии и вывести их как реальные активы.
Хардфорк заблокирует перемещение украденных токенов за пределы сети и предотвратит дальнейшие атаки. Разработчики уже разослали обновление валидаторам.
Сеть возобновит работу после того, как ключевые инфраструктурные партнеры обновят RPC-серверы. В заявлении команда назвала это «основным препятствием для возобновления работы».
Представители фонда ведут переговоры с MEV-оператором, который удерживает выведенные средства. Он заявил о готовности вернуть активы после перезапуска сети, назвав себя «белым хакером».
После восстановления работы сети команда Berachain пообещала опубликовать отчет о мерах безопасности и дальнейших планах по развитию BEX.
11 аудитов
Согласно GitHub, смарт-контракты Balancer V2 прошли 11 аудитов от четырех компаний: OpenZeppelin, Trail of Bits, Certora и ABDK. Последняя проверка состоялась в сентябре 2022 года.
«Хранилище [Balancer] трижды проверяли разные фирмы, но его все равно взломали. Этой индустрии нужно признать, что „проверено аудитором X” почти ничего не значит. Код — это сложно, а DeFi — еще сложнее», — написал руководитель отдела по работе с разработчиками в блокчейн-проекте TAC Сухаил Какар.
Команда Balancer предложила хакеру вознаграждение в размере 20% от украденной суммы. Условие — полный возврат средств в течение 48 часов. В случае отказа протокол пригрозил привлечь специалистов по блокчейн-криминалистике и правоохранительные органы.
Напомним, в августе 2023 года разработчики Balancer сообщили о критической уязвимости, которая затронула ряд пулов второй версии DeFi-платформы.
Источник: forklog.com