目錄
11 月 3 日,鏈上安全公司派盾注意到到 Balancer V2 金庫發生異常轉帳。大量封裝以太坊(WETH)和流動性質押衍生品(wstETH, osETH)被轉移到一個新錢包。
隨後 Balancer 團隊迅速確認的確發生了鏈上攻擊事件,隨著鏈上監控的不斷發現,最終統計的受損金額來到了 1.28 億美元。 Balancer 團隊表示,攻擊範圍嚴格限制在 V2 可組合穩定池(Composable Stable Pools)。其較新的 V3 架構及其他 V2 池類型(如權重池)均未受影響。
截至 11 月 4 日,Balancer 團隊仍未公佈具體的攻擊原因。不過根據 Nansen 鏈上分析師的分析認為,這次攻擊的根源在於一個「有缺陷的存取控制檢查」(faulty access-control check)。
攻擊者透過呼叫 V2 協議的 manageUserBalance 函數向金庫發送了一個惡意建構的指令。這個指令欺騙了協議的內部帳本,使其相信「協議剛剛收取了一大筆費用」,並且「這筆費用的所有權歸攻擊者」。隨後,攻擊者調用了正常的提款需求,將巨額的資產轉移到自己的帳戶數。
從技術的角度來看,這次攻擊的完成並不在與技術能力有多強,而是攻擊者巧妙的利用了協議當中的邏輯漏洞完成。有分析師認為,駭客在攻擊的過程中留下了控制台日誌,從痕跡的習慣來看,這個駭客很有可能藉助了 AI 大模型來編寫和審查程式碼,從而發現了審計師遺漏的缺陷。
