バランサー、ボールトから1億2800万ドルが移動する中、エクスプロイトの被害に AI: バランサー、ボールトから1億2800万ドルが移動する中、エクスプロイトの被害に

分散型金融（DeFi）プロトコルのBalancerが悪意のある攻撃を受け、1億2800万ドルを失いました。オンチェーンデータによると、プロトコルのボールトから1億2800万ドル以上の資産が引き出されています。 

盗まれた資金にはosETH、WETH、wstETHが含まれており、攻撃者が盗んだ資産を統合していることから、資金洗浄の懸念が高まっています。 

Balancerが攻撃を受ける 

著名な分散型金融（DeFi）プロトコルであるBalancerが大規模な攻撃を受け、オンチェーンデータによると1億2800万ドル以上の資産が新しいウォレットに移動されました。ブロックチェーンデータによると、盗まれた資金には6,850 osETH、6,590 WETH、4,260 wstETHが含まれており、この攻撃はBalancer v2のボールトに影響を与えました。プロトコルのv2ボールトは中央流動性エンジンとして機能し、トークンを集約して流動性プール間の取引を促進しています。BalancerチームはXで攻撃を認め、次のように述べています。 

Sonic、Polygon、Baseにまたがるボールトも影響を受けています。 

Trading Strategyの共同創設者兼CEOであるMikko Ohtamaa氏は、攻撃の予備分析によると、欠陥のあるスマートコントラクトが攻撃の主な原因であることを示していると述べました。彼はさらに、すべてのBalancerバージョンが影響を受けたわけではないが、古いv2フォークが攻撃者に利用された同じ脆弱性を共有している場合、損失はさらに大きくなる可能性があると付け加えました。セキュリティ企業のPeckShieldは、Balancerが展開されている複数のチェーンにわたって攻撃がまだ進行中であると述べています。 

攻撃の展開方法 

セキュリティ企業Decurityによると、攻撃はBalancerの「manageUserBalance」関数における欠陥のあるアクセス制御が原因で発生しました。脆弱性はValidateUserBalanceOpにあり、msg.senderをユーザーが提供するop.senderと照合するロジックの欠陥があり、UserBalanceOpKind.WITHDRAW_INTERNAL操作を通じて不正な引き出しを可能にしていました。 

簡単に言えば、この脆弱性により、攻撃者は必要な権限なしにBalancerのスマートコントラクトから内部残高の引き出しをトリガーすることができました。 

オンチェーンセキュリティの専門家は、攻撃者のアドレスがすでに資産の統合を開始していることを強調しており、分散型ミキサーを通じて資金を洗浄する準備をしている可能性があるという懸念が高まっています。 

3回目の攻撃 

BalancerはEthereumに構築された分散型プラットフォームで、ユーザーがトークンを取引し、自己バランス調整プールを使用して流動性を提供することができます。このプロトコルは2020年から活動しており、Ethereum上だけで3億5000万ドル以上のTVLを保有しています。今回の事件はBalancerにとって3回目の既知のセキュリティ侵害です。このプラットフォームは以前、2021年と2023年に攻撃を受け、数百万ドルを失っています。オンチェーンの専門家によると、ボールトはBalancerの主要なスマートコントラクトであり、すべてのBalancerプールからのトークンを保持しています。 

この設計はBalancer v2で導入され、トークンの会計処理をプールロジックから分離し、プールをより小さく、シンプルに、そして構築しやすくしています。このアプローチにより、新しいDEXを作成することなく、誰でも新しいプール設計を組み込むことができるようになりました。

免責事項：この記事は情報提供のみを目的として提供されています。法的、税務、投資、財務、その他のアドバイスとして使用することを意図したものではありません。