Balancer объясняет, как ошибка в коде привела к хакерской атаке на $128 млн

Хакерская атака на DeFi-протокол Balancer произошла из-за выявленной ошибки в одном из ключевых элементов системы — пулах Composable Stable. С такими выводами выступила команда разработчиков проекта.

Как гласят заявления, уязвимость позволила злоумышленникам воспользоваться особенностями механизма отложенных расчетов. Ошибка в коде привела к тому, что ликвидность временно снижалась ниже критически необходимого уровня.

В результате определенных операций обмена (EXACT_OUT) нецелые коэффициенты масштабирования вызывали округление значений в меньшую сторону. Эти накопившиеся расхождения создали возможность для манипуляций с балансами пулов, что и дало хакерам шанс вывести средства.

Сначала активы перемещались на внутренние счета Balancer v2, а потом выводились через отдельные транзакции.

Наиболее значительный ущерб был причинен пулам Composable Stable v5, у которых закончился защитный период. В отличие от них, пулы v6 удалось защитить от серьезного истощения благодаря системе экстренного реагирования Hypernative, которая автоматически остановила их работу.

«Инцидент коснулся исключительно Composable Stable Pools в Balancer v2 и их форков в других сетях: BEX и Beets. Balancer v3 и другие типы пулов не пострадали», — подчеркнула команда протокола.

Чтобы противостоять угрозе, другие партнеры Balancer также предприняли несколько мер. В частности, усилиями BitFinding и MEV-ботов Base было возвращено около $750,000.

По словам разработчиков, внедрение правовой структуры Safe Harbor значительно улучшило скорость и координацию реагирования на инцидент.

На текущий момент точная сумма возвращенных средств еще не известна. Команда Balancer пообещала предоставить отчет о финальных потерях и восстановленных активах после завершения аудита.

Напомним, что DeFi-протокол подвергся взлому 3 ноября, и атака продолжалась несколько часов.