Команда Berachain Foundation инициировала экстренный хардфорк после взлома Balancer на $128 млн. Сеть остановили для устранения уязвимости в нативной децентрализованной бирже под названием BEX.

Уязвимость в BEX — форке Balancer V2 — стала частью более крупной атаки. 3 ноября взлом затронул пулы DeFi-протокола в сетях Ethereum, Arbitrum, Base и Polygon. Из ликвидности пары ENA/HONEY на BEX вывели около $12 млн.

По данным аналитиков Nansen, причиной инцидента стал сбой в механизме контроля доступа. Он позволил злоумышленнику сгенерировать фиктивные комиссии и вывести их как реальные активы.

Хардфорк заблокирует перемещение украденных токенов за пределы сети и предотвратит дальнейшие атаки. Разработчики уже разослали обновление валидаторам.

Сеть возобновит работу после того, как ключевые инфраструктурные партнеры обновят RPC-серверы. В заявлении команда назвала это «основным препятствием для возобновления работы».

Представители фонда ведут переговоры с MEV-оператором, который удерживает выведенные средства. Он заявил о готовности вернуть активы после перезапуска сети, назвав себя «белым хакером».

После восстановления работы сети команда Berachain пообещала опубликовать отчет о мерах безопасности и дальнейших планах по развитию BEX.

Согласно GitHub, смарт-контракты Balancer V2 прошли 11 аудитов от четырех компаний: OpenZeppelin, Trail of Bits, Certora и ABDK. Последняя проверка состоялась в сентябре 2022 года.

Команда Balancer предложила хакеру вознаграждение в размере 20% от украденной суммы. Условие — полный возврат средств в течение 48 часов. В случае отказа протокол пригрозил привлечь специалистов по блокчейн-криминалистике и правоохранительные органы.

Напомним, в августе 2023 года разработчики Balancer сообщили о критической уязвимости, которая затронула ряд пулов второй версии DeFi-платформы.