Das dezentrale Finanz- (DeFi) Protokoll Balancer, das mehr als 750 Millionen USD an gesperrtem Wert verwaltet, hat Berichten zufolge seinen bisher größten Exploit erlitten.
Blockchain-Daten zeigen, dass mehr als 110 Millionen USD in digitalen Vermögenswerten in eine neue Wallet bewegt wurden. Zu den betroffenen Geldern gehören 6.850 osETH, 6.590 WETH und 4.260 wstETH und es scheint mehrere Balancer-Version-2-(V2)-Vaults zu betreffen.
Weitere Analysen deuten darauf hin, dass Vaults über die Netzwerke Sonic, Polygon und Base ebenfalls betroffen waren.
Wie der Angriff erfolgte
Sicherheitsforscher bei Decurity identifizierten eine Schwachstelle in Balancers „manageUserBalance“-Funktion. Der Fehler stammt aus der validateUserBalanceOp-Logik, die msg.sender mit einem vom Benutzer bereitgestellten op.sender vergleicht. Diese Nichtübereinstimmung erlaubte es unautorisierten Akteuren, Abhebungen mittels der Operation UserBalanceOpKind.WITHDRAW_INTERNAL auszuführen.
In der Praxis konnten Angreifer interne Saldo-Abhebungen aus den Smart Contracts von Balancer ohne richtige Berechtigungen auslösen. Blockchain-Daten zeigen, dass der Angreifer bereits begonnen hat, Vermögenswerte zu konsolidieren, was Befürchtungen weckt, dass Gelder über dezentrale Mixer oder Cross-Chain-Brücken gewaschen werden könnten.
Auswirkung auf Token und Community
Nach dem Vorfall fiel Balancers BAL-Token mehr als 5 % von seinem Montagshoch. Das Team hat noch keine offizielle Stellungnahme abgegeben. Dies ist der dritte bekannte Sicherheitsvorfall bei Balancer, nach früheren Ereignissen in 2021 und 2023, die zusammen Millionen gekostet haben.
Der Exploit betraf auch Dienste, die auf Balancer V2 aufgebaut sind. Zum Beispiel bestätigte Beets Finance, ein Fork-Projekt, Verluste von mehr als 3 Millionen USD. Daten von DefiLlama zeigen, dass über 60 Millionen USD in Protokollen gesperrt sind, die auf Balancer V2 angewiesen sind, was sie potenziell zusätzlichem Risiko aussetzt, falls Sicherheitsmaßnahmen unzureichend sind.
Verstehen des Vault-Designs von Balancer V2
Balancer V2 führte ein zentrales Vault-System ein, bei dem alle Token aus jedem Pool in einem einzigen Smart Contract gehalten werden, anstatt separat durch jeden Pool verwaltet zu werden. Dieses Design trennt Token-Buchhaltung von Pool-Logik (Swap-Ausführung, Liquiditätszugaben und Abhebungen), wodurch neue Pools bereitgestellt werden können, ohne vollständig neue DEX-Contracts zu erstellen.
Obwohl die Architektur die Entwicklung vereinfacht und die operative Komplexität reduziert, zeigt dieser Exploit einen kritischen Nachteil: Wenn das zentrale Vault kompromittiert wird, sind alle abhängigen Pools und Protokolle gefährdet.
Vorherige Vorfälle
Der jüngste Exploit bei Balancer ist Teil eines besorgniserregenden Musters im DeFi-Bereich, bei dem Smart-Contract-Schwachstellen weiterhin große Liquiditätsplattformen heimsuchen. Mit zunehmenden Angriffen werden Nutzer aufgefordert, wachsam zu bleiben und in Erwägung zu ziehen, Gelder aus betroffenen Protokollen abzuziehen, bis weitere Sicherheitsmaßnahmen bestätigt werden.
Dieser Exploit reiht sich ein in eine wachsende Liste von Sicherheitsvorfällen bei Balancer:
- August 2023: Exploit von 870.000 USD nach Offenlegung einer Protokoll-Schwachstelle
- September 2023: DNS-Hijacking-Angriff mit Verlusten von 238.000 USD
- Juni 2020: Flash-Loan-Angriff über 500.000 USD beim Statera-(STA)-Pool
On-Chain-Daten haben 70,9 Millionen USD in gestaktem Ether (ETH) markiert, die aus Balancer-bezogenen Wallets in eine neue Wallet übertragen wurden. Blockchain-Analyseplattformen wie Nansen deuten darauf hin, dass der Gesamtverlust durch Cross-Chain-Transaktionen auf 84 Millionen USD steigen könnte.
Zu den gestohlenen Geldern gehören osETH, WETH und wstETH, was weitere laufende Sicherheitslücken in DeFi-Protokollen hervorhebt. Bis jetzt hat Balancer keine offizielle Stellungnahme abgegeben.
HODL Team
Haftungsausschluss: Alle Materialien auf dieser Seite dienen nur zu Informationszwecken. Keines der Materialien sollte als Anlageberatung interpretiert werden. Bitte beachten Sie, dass trotz der Art vieler Materialien, die auf dieser Website erstellt und gehostet werden, HODLFM.DE keine Finanzreferenzressource ist und die Meinungen von Autoren und anderen Mitwirkenden ihre eigenen sind und nicht als finanzielle Beratung aufgefasst werden sollten. Wenn Sie eine solche Beratung benötigen, empfiehlt HODLFM.DE dringend, sich an einen qualifizierten Fachmann der Branche zu wenden.
