Histoire des attaques de l'ancien protocole de Finance décentralisée Balancer : 6 incidents de sécurité en 5 ans, avec des pertes totales dépassant un million de dollars.

Le vétéran du protocole DeFi Balancer a subi 6 incidents de sécurité majeurs au cours des 5 dernières années, et la dernière attaque a fait perdre plus de 100 millions de dollars, révélant les risques techniques derrière la complexité de la DeFi. (Synopsis : La réponse officielle de Balancer a été piratée de 116 millions de dollars) (Contexte ajouté : L’ancien protocole DeFi Balancer a été piraté !) Les dégâts ont dépassé les 116 millions de dollars, mais l’attaque continue) Pour les spectateurs, la DeFi est une nouvelle expérience sociale ; Pour les participants, le vol de la DeFi est une leçon coûteuse. La fuite de la maison a coïncidé avec la pluie de la nuit, et le pirate a spécifiquement choisi la chute. Lors du récent ralentissement de l’ensemble du marché de la cryptographie, l’ancien protocole DeFi a été durement touché. Le 3 novembre, les données on-chain ont montré que le protocole Balancer était soupçonné d’avoir été piraté. Environ 70,9 millions de dollars d’actifs ont été transférés vers le nouveau portefeuille, dont 6 850 osETH, 6 590 WETH et 4 260 wstETH. Par la suite, selon la surveillance par Lookonchain des adresses de portefeuille en question, le montant total des dommages causés par l’attaque sur le protocole est passé à 116,6 millions de dollars. L’équipe de Balancer a déclaré après l’incident : « Une attaque de vulnérabilité a été identifiée qui pourrait affecter le pool Balancer v2, et ses équipes d’ingénierie et de sécurité enquêtent sur cet incident en haute priorité et partageront des mises à jour vérifiées et les prochaines étapes dès que plus d’informations seront disponibles. » En outre, les responsables ont également exprimé publiquement leur volonté de payer 20 % des actifs volés à titre de récompense blanche pour récupérer les actifs, qui est valable pendant 48 heures. La réponse a été rapide mais aussi officielle. Cependant, si vous êtes un vétéran de la DeFi, vous ne serez pas surpris par le titre « Balancer hacked », mais il y a un étrange sentiment de déjà-vu. En tant que vétéran du protocole DeFi fondé en 2020, Balancer a même connu 6 incidents de sécurité au cours des 5 dernières années, avec une moyenne d’une émission réservée fréquentée par les pirates chaque année, et cette fois-ci, il ne s’agit que de la plus grande somme d’argent volée. Si l’on regarde l’histoire, lorsque la situation du marché rend le trading difficile à devenir infernal, il est très probable qu’il y ait un arbitrage d’intérêt dans la DeFi et que ce n’est pas sûr. Juin 2020 : Vulnérabilité du token déflationniste, perte d’environ 520 000 $ En mars 2020, Balancer est entré dans le monde de la DeFi avec l’idée innovante d’un « teneur de marché automatisé flexible ». À peine trois mois plus tard, cependant, l’accord ambitieux a connu son premier cauchemar. Les attaquants ont exploité la mauvaise gestion des jetons déflationnistes par le protocole, causant des pertes d’environ 520 000 $. Le principe général est qu’à cette époque, un jeton appelé STA brûlait automatiquement 1 % de frais pour chaque transfert. Les attaquants ont prêté 104 000 ETH à partir d’un prêt flash dYdX, puis ont échangé 24 fois entre STA et ETH. Comme Balancer n’a pas correctement calculé le solde réel après chaque transfert, le STA dans le pool a finalement été épuisé à seulement 1 wei. Les attaquants ont ensuite exploité le grave déséquilibre des prix et ont échangé une grande quantité d’ETH, WBTC, LINK et SNX contre des traces de STA. Mars 2023 : Incident d’Euler avec une arme à coucher, perte d’environ 11,9 millions de dollars Cette fois-ci, Balancer a été une victime indirecte. Euler Finance a subi une attaque de prêt flash de 197 millions de dollars, et le pool bb-e-USD de Balancer a été impliqué pour la détention de l’eToken d’Euler. Lorsqu’Euler a été attaqué, environ 11,9 millions de dollars ont été transférés du pool bb-e-USD de Balancer à Euler, soit 65 % de la TVL du pool. Bien que Balancer ait suspendu d’urgence la piscine en question, le mal a été irréparable. Août 2023 : Vulnérabilité de précision du pool Balancer V2, environ 2,1 millions de dollars de pertes Cette attaque était en fait préfigurée. Le 22 août de la même année, Balancer a volontairement divulgué la vulnérabilité et a averti les utilisateurs de désinvestir, mais l’attaque a tout de même eu lieu 5 jours plus tard. La vulnérabilité implique une erreur d’arrondi dans le pool boosté V2. Grâce à une manipulation précise, l’attaquant biaise le calcul de l’offre de BPT (Balancer Pool Token), de manière à retirer les actifs du pool à un taux de change inapproprié. L’attaque a été menée à bien par le biais de plusieurs transactions de prêt flash, avec des estimations de pertes allant de 979 000 $ à 2,1 millions de dollars par différentes sociétés de sécurité. Septembre 2023 : Attaque de détournement de DNS avec environ 240 000 $ de dégâts Il s’agit d’une attaque d’ingénierie sociale qui cible non pas les contrats intelligents, mais l’infrastructure réseau traditionnelle. Les pirates ont utilisé l’ingénierie sociale pour pénétrer dans le bureau d’enregistrement de domaines EuroDNS et détourner balancer.fi noms de domaine. Les utilisateurs sont redirigés vers un site Web d’hameçonnage qui utilise un contrat malveillant Angel Drainer pour inciter les utilisateurs à autoriser les transferts. Les attaquants ont ensuite blanchi l’argent volé par l’intermédiaire de Tornado Cash. Bien que cette question elle-même ne soit pas le pot de Balancer, il est également difficile d’empêcher les gens d’utiliser la marque du protocole pour pêcher. Juin 2024 : Velocore piraté, perdant environ 6,8 millions de dollars Bien que Velocore soit un projet indépendant, son vol n’a rien à voir avec Balancer. Mais en tant que fork de Balancer, Velocore utilise le même design de pool CPMM (Constant Product Market Maker), qui est un peu dans la même veine, plus comme voler ailleurs, mais le mécanisme est dans Balancer. Cette fois, on peut supposer que l’attaquant a exploité une vulnérabilité de débordement dans le contrat de pool CPMM de style Balancer de Velocore pour manipuler le multiplicateur de frais (feeMultiplier) afin qu’il dépasse 100 %, ce qui a entraîné des erreurs de calcul. Les attaquants ont finalement volé environ 6,8 millions de dollars par le biais de prêts flash combinés à des retraits élaborés. Novembre 2025 : Dernière attaque, plus de 100 millions de pertes Le principe technique de cette attaque a été préalablement clarifié. Selon l’analyse des chercheurs en sécurité, la vulnérabilité se situe dans la vérification du contrôle d’accès de la fonction manageUserBalance dans le protocole Balancer V2, qui correspond également à la vérification des autorisations des utilisateurs. Selon l’analyse des organismes de surveillance de la sécurité Defimon Alerts et Decurity, le système était censé vérifier si l’appelant était le véritable propriétaire du compte lors de la vérification des autorisations de retrait de Balancer V2, mais le code vérifiait à tort si msg.sender (l’appelant réel) était égal au paramètre op.sender fourni par l’utilisateur lui-même. Étant donné que op.sender est un paramètre d’entrée contrôlable par l’utilisateur, les attaquants peuvent falsifier des identités à volonté, contourner la vérification des autorisations et effectuer WITHDRAW_INTERNAL (retraits internes…