事件の概要
セキュリティパートナーやホワイトハットの救助者、ブロックチェーン財団の迅速な介入のおかげで、資金の大部分が保護または回収されました。この事件は、分散型金融(DeFi)のリスクとレジリエンスの両方を浮き彫りにし、投資家や初心者にとっての重要な教訓を提供します。では、Balancerに何が起こったのか、さらに詳しく見ていきましょう。
脆弱性の詳細
この脆弱性は、「正確な出力」スワッププロセスにおける丸め誤差に起因しています。簡単に言えば、このタイプのスワップでは、ユーザーが特定のトークンの量を要求し、システムが必要な預金額を計算します。しかし、計算ミスにより、入力がわずかに過小評価され、攻撃者が正しい金額を支払うことなく資金を引き出すことができました。このエクスプロイトには、丸め誤差、不正確なレートプロバイダー、低流動性の3つの条件が必要でした。V2のComposable Stable Poolsのみがこの3つの条件を満たしており、他のBalancerプール、V3を含むものは影響を受けませんでした。
対応と回収の状況
本日、私たちは最近のエクスプロイトに関する完全なポストモーテムを発表しました。何が起こったのか、私たちがどのように対応したのか、そして今後の道筋を理解するために、ぜひお読みください。これは終わりではありません。私たちは回復努力に全力を尽くし、資金を回復するためのあらゆる手段を模索しています。
攻撃者はまず、「exitSwap」を使用してプールを排出し、低流動性状態での丸め誤差を悪用しました。その後、一連の慎重に計算されたスワップを実行し、プールのトークン価値を徐々に下げ、大きな金額の引き出しを可能にしました。典型的なハッキングとは異なり、盗まれた資産は内部で蓄積されてから引き出されることが多く、セキュリティチームに貴重な数分間の行動時間を与えました。
Balancerの事件の際にBEXに資金があった場合は、ステータスを確認してください。BEXで影響を受けた安定コインの資金の大部分はすでに請求されています。ETHおよびBERAプールについても回収された資金が利用可能です。ETHの90%以上が請求されていますが、BERAは約40%です。
セキュリティの重要性
実際の効果的な緩和の例として、Crypto.comとEther.fiが挙げられ、緊急停止中に資金を成功裏に引き出し、損失を制限しました。SEAL Safe Harbor Agreementの下で活動するホワイトハットの救助者も、複数のチェーンで460万ドルを回収しました。Ethereum、Polygon、Arbitrum、Base、Optimism全体での協調的な対応により、約4570万ドルの資金が確保されました。報告されていない情報によれば、これまでにBalancerのハッキングによってホワイトハットによって保存された金額は2000万ドルを超えています。メディアは次に進んでいるかもしれませんが、被害者はそうではありません。ホワイトハットの皆さんに敬意を表します—DeFiの無名の保護者たちです。彼らは暗号のスーパーヒーローであり、無償で活動しています。
今後の展望
Balancerのポストモーテムは、継続的なセキュリティ監査の重要性と強力なエコシステムパートナーシップの価値を強調しています。V3のアーキテクチャは、厳格な丸め制御と簡素化された数学により、同様の攻撃を成功裏に防ぎました。最近の傾向は、より多くのプロトコルがユーザー資産を保護するために層状の防御と積極的なホワイトハットプログラムを採用していることを示しています。
Cyfrin Auditsの共同創設者Patrick Collinsは、最近のBalancerのエクスプロイトと、クラウドチェイサーが偽のハッキング分析を投稿していることについて語っています。「何を言っているのか全く分からないKOLには注意してください。彼らのほとんどはそうです。」
この事件は、流動性プロバイダーが情報を把握し、積極的である必要性を再確認させます。Balancerは、ユーザーにV2の安定プールからV3に移行するよう奨励しており、安全でより堅牢なプラットフォームを提供しています。Balancerは回収された資金をユーザーに比例して返還し、継続中の法的および技術的チームが追加の損失を積極的に回収しています。
なお、Altcoin Buzzが提供する情報は金融アドバイスではなく、教育、エンターテイメント、情報提供の目的のみを意図しています。共有された意見や戦略は著者やレビュアーのものであり、彼らのリスク許容度はあなたとは異なる場合があります。提供された情報に関連する投資から生じる損失について、私たちは責任を負いません。Bitcoinや他の暗号通貨は高リスク資産であるため、徹底的なデューデリジェンスを行ってください。
