Balancer-hack avslører måneder med planlegging bak kryptoran på 116 millioner dollar

Sporet etter utnytteren bak Balancer-hacket på 116 millioner dollar har avslørt en metodisk operasjon på høyt nivå som kan ha vært i gang i flere måneder.

Angriperen utførte hvert trinn med kirurgisk presisjon, og brukte flere Tornado Cash-innskudd på 0,1 Ether for å maskere opprinnelsen til midler og unngå identifikasjon.

Onchain-data indikerer måneder med planlegging, finansiert gjennom snikende Tornado Cash-overføringer.

Sikkerhetsanalytikere antyder at omfanget av bruddet og angriperens operasjonelle disiplin gjenspeiler en økende sofistikering innen desentralisert finans (DeFi) utnyttelser, som i økende grad ligner statsstøttede cyberkampanjer i planlegging og utførelse.

Stealth-mønster peker på langsiktig oppsett

Balancer, den desentraliserte børsen og automatiserte market maker, bekreftet utnyttelsen mandag, og rapporterte et tap på omtrent 116 millioner dollar i ulike digitale eiendeler.

Angriperens konto mottok midler gjennom et mønster av små innskudd fra Tornado Cash, en personvernprotokoll som ofte brukes til å skjule fondets opprinnelse.

Blokkjedeanalytiker Conor Grogan sa i et X-innlegg at utnytterens konto opprinnelig ble finansiert med 100 Ether som allerede var holdt i Tornado Cash, noe som tyder på at personen kan ha vært involvert i tidligere hacking.

Grogan bemerket at brukere sjelden lagrer så store summer i miksere, og pekte på angriperens erfaring og nøye planlegging.

Balancer har tilbudt hackeren en 20 % white hat-dusør hvis midlene returneres i sin helhet, unntatt belønningen, innen onsdag.

Plattformen sa at den samarbeider med sikkerhetsforskere for å produsere en detaljert obduksjon av hendelsen.

Analytikere kaller det en kompleks DeFi-utnyttelse

Ifølge blokkjedesikkerhetsfirmaet Cyvers representerer Balancer-utnyttelsen et av de mest komplekse angrepene sett i år.

Angriperne klarte å omgå tilgangskontrolllag og direkte manipulere aktivasaldoer, og avslørte en kritisk svakhet i styringen i stedet for i Balancers kjernelogikk for smarte kontrakter.

Deddy Lavid, medgründer og administrerende direktør i Cyvers, sa at arrangementet understreker grensene for statiske koderevisjoner.

Han hevdet at kontinuerlig sanntidsovervåking av transaksjoner er avgjørende for å oppdage uregelmessigheter før midlene tappes.

Bransjeeksperter mener at dette skiftet mot vedvarende overvåking nå er uunngåelig ettersom DeFi-plattformer møter angripere som tester forsvar måneder i forveien.

Paralleller til Lazarus Groups aktivitet

Balancer-bruddet har trukket sammenligninger med den nordkoreanske Lazarus-gruppen, hvis aktivitetsmønstre viser lignende nivåer av forberedelser.

Chainalysis-data indikerer at ulovlige transaksjoner knyttet til nordkoreanske hackere falt kraftig etter juli 2024, etter en økning tidligere samme år. Analytikere tolket stillstanden som en strategisk pause for å omgruppere og identifisere nye mål.

Nedgangen gikk forut for Bybit-hacket på 1,4 milliarder dollar, som bare tok 10 dager å hvitvaske gjennom den desentraliserte krysskjedeprotokollen THORChain.

Hastigheten og koordineringen av denne operasjonen antyder bruk av sofistikert automatisering og forhåndsplanlagte hvitvaskingsrørledninger, teknikker som nå dukker opp i uavhengige utnyttelser som Balancer-saken.

DeFi står overfor en økende sikkerhetstrussel

Balancer-hacket gjenspeiler en fremvoksende æra med profesjonalisert cybertyveri i desentralisert finans.

I motsetning til opportunistiske teppetrekk eller phishing-svindel, er moderne utnyttelser i økende grad avhengige av disiplinerte finansieringskjeder, automatisert tilsløring og angrepsvektorer rettet mot styringsmekanismer i stedet for tekniske feil.

Etterforskere mener Balancer-hendelsen viser hvordan angripere utvikler seg raskere enn DeFis nåværende sikkerhetsmodeller.

Etter hvert som sektoren utvides, advarer eksperter om at skillet mellom kriminelle syndikater og statstilknyttede hackere viskes ut, med begge gruppene som deler verktøy, infrastruktur og taktikk.

Balancers etterforskning fortsetter, med prosjektet som oppfordrer børser og lommebokleverandører til å overvåke mistenkelige tilstrømninger.

Resultatet kan forme hvordan DeFi-industrien revurderer sikkerhetsrammeverk, revisjoner og forsikringsmekanismer i årene som kommer.