penyeimbang baru saja terkuras seharga ~ $ 116 juta Ini tidak canggih. Itu adalah bug kontrol akses dasar dalam kontrak brankas mereka Inilah bagaimana itu terjadi, apa yang diungkapkannya - dan mengapa itu harus menakut-nakuti setiap protokol DeFi hidup-hidup: 1/

Eksploitasi ini mencapai Balancer v2 hari ini di Ethereum, Arbitrum, Polygon, Base, Optimism, dan banyak lagi lebih dari $116 juta hilang. 6.590 WETH. 6,851 osETH. 4,260 wstETH semua ditarik dari lemari besi inti pada 0xBA1 ... BF2C8 2/

bug ada di "manageUserBalance" - fungsi yang seharusnya memvalidasi siapa yang dapat memindahkan dana sebagai gantinya, itu mengacaukan msg.sender dengan bidang op.sender yang disediakan pengguna penyerang menggunakan operasi WITHDRAW_INTERNAL untuk menguras token yang tidak pernah mereka setorkan 3/

Apa yang membuat ini lebih buruk? penyeimbang V2 menggunakan satu lemari besi untuk semuanya. setiap kolam, setiap rantai. Pukul lemari besi, pukul semuanya. banyak garpu juga berisiko. 4/

Ini adalah peretasan besar ketiga Balancer dalam lima tahun 2021, 2023, dan sekarang 2025: $116 juta+ dan terus bertambah 5/

Mari kita perkecil. Balancer bukanlah eksperimen. $750 juta TVL. Diaudit. hidup selama bertahun-tahun.namun: kelemahan kontrol akses dasar duduk di PROD, audit melewatkannya, tidak ada validasi pengirim yang tepat, dana dicampur dalam satu brankas pusat. 6/

Ini adalah peretasan besar ketiga Balancer dalam lima tahun 2021: jutaan hilang 2023: $238K setelah diperingatkan 2025: $ 116 juta + ini bukan hanya masalah Balancer. Ini adalah masalah ilusi defi "diaudit" =/= aman. "battle-tested" =/= aman 7/

Takeaway: Bug kontrol akses dasar masih menghancurkan protokol blue-chip Jika Anda membangun: Tinjau setiap pemeriksaan izin dua kali. Jika Anda seorang pengguna: "diaudit" berarti seseorang melihat sekali, bukan berarti itu antipeluru Ini tidak maju. kami hanya ceroboh 8/

DeFi bisa melakukan yang lebih baik. Tapi pertama-tama, kita harus mengakui: dasar-dasarnya masih lebih penting daripada hype. Saya akan memposting lebih banyak saat jejak onchain berkembang 9/

Ada beberapa laporan bahwa penyerang tidak hanya mengeksploitasi izin. mereka memanipulasi harga BPT melalui kerugian presisi dalam matematika StableSwap. - tiriskan satu token ke tepi pembulatan - mengeksploitasi kesalahan pembulatan untuk mengempiskan harga BPT - beli kembali BPT murah, untung /10

Detail lebih lanjut di sini tentang bagaimana manipulasi harga dilakukan[1] Masih menunggu tanggapan resmi penyeimbang. akan terus memperbarui utas saat semuanya terungkap. [1]