Włamanie do Balancera ujawnia miesiące planowania stojącego za napadem na kryptowaluty o wartości 116 milionów dolarów

Ślad onchain pozostawiony przez exploita stojącego za włamaniem do Balancera o wartości 116 milionów dolarów ujawnił metodyczną operację na wysokim poziomie, która mogła być w ruchu od miesięcy.

Atakujący wykonywał każdy krok z chirurgiczną precyzją, używając wielu depozytów Tornado Cash o wartości 0,1 Ether, aby zamaskować pochodzenie środków i uniknąć identyfikacji.

Dane Onchain wskazują na miesiące planowania, finansowane za pomocą ukrytych transferów pieniężnych Tornado.

Analitycy bezpieczeństwa sugerują, że skala naruszenia i dyscyplina operacyjna atakującego odzwierciedlają rosnące wyrafinowanie w zakresie exploitów zdecentralizowanych finansów (DeFi), które w coraz większym stopniu przypominają sponsorowane przez państwo kampanie cybernetyczne pod względem planowania i realizacji.

Wzorzec stealth wskazuje na długoterminową konfigurację

Balancer, zdecentralizowana giełda i automatyczny animator rynku, potwierdził exploit w poniedziałek, zgłaszając stratę w wysokości około 116 milionów dolarów w różnych aktywach cyfrowych.

Na konto atakującego wpłynęły środki za pośrednictwem niewielkich wpłat z Tornado Cash, protokołu prywatności często używanego do ukrywania pochodzenia funduszy.

Analityk Blockchain, Conor Grogan, powiedział w poście X, że konto exploita zostało początkowo zasilone 100 Etherami już przechowywanymi w Tornado Cash, co sugeruje, że osoba ta mogła być zaangażowana w poprzednie włamania.

Grogan zauważył, że użytkownicy rzadko przechowują tak duże sumy w mikserach, wskazując na doświadczenie atakującego i staranne planowanie.

Balancer zaoferował hakerowi 20% nagrody za biały kapelusz, jeśli środki zostaną zwrócone w całości, z wyłączeniem nagrody, do środy.

Platforma poinformowała, że współpracuje z badaczami bezpieczeństwa w celu opracowania szczegółowej sekcji zwłok incydentu.

Analitycy nazywają to złożonym exploitem DeFi

Według firmy Cyvers zajmującej się bezpieczeństwem blockchain, exploit Balancer stanowi jeden z najbardziej złożonych ataków widzianych w tym roku.

Atakującym udało się ominąć warstwy kontroli dostępu i bezpośrednio manipulować saldami aktywów, ujawniając krytyczną słabość w zarządzaniu, a nie w podstawowej logice inteligentnych kontraktów Balancer.

Deddy Lavid, współzałożyciel i dyrektor generalny Cyvers, powiedział, że wydarzenie podkreśla ograniczenia statycznych audytów kodu.

Argumentował, że ciągłe monitorowanie transakcji w czasie rzeczywistym jest niezbędne do wykrywania anomalii, zanim środki zostaną drenowane.

Eksperci branżowi uważają, że ta zmiana w kierunku stałego nadzoru jest obecnie nieunikniona, ponieważ platformy DeFi stawiają czoła napastnikom, którzy testują zabezpieczenia z wielomiesięcznym wyprzedzeniem.

Podobieństwa do działalności Grupy Lazarus

Atak na Balancera wywołał porównania do północnokoreańskiej grupy Lazarus, której wzorce aktywności wykazują podobny poziom przygotowania.

Dane Chainalysis wskazują, że liczba nielegalnych transakcji powiązanych z hakerami z Korei Północnej gwałtownie spadła po lipcu 2024 r., po gwałtownym wzroście na początku tego roku. Analitycy zinterpretowali przerwę jako strategiczną przerwę na przegrupowanie i zidentyfikowanie nowych celów.

Spowolnienie poprzedziło włamanie do Bybit o wartości 1,4 miliarda dolarów, które zajęło tylko 10 dni, aby wyprać za pomocą zdecentralizowanego protokołu cross-chain THORChain.

Szybkość i koordynacja tej operacji sugerują użycie wyrafinowanej automatyzacji i wcześniej zaplanowanych rurociągów prania, technik pojawiających się obecnie w niezależnych exploitach, takich jak przypadek Balancera.

DeFi stoi w obliczu rosnącego zagrożenia bezpieczeństwa

Włamanie do Balancera odzwierciedla nadchodzącą erę profesjonalnej cyberkradzieży w zdecentralizowanych finansach.

W przeciwieństwie do oportunistycznych wyrywań dywanów lub oszustw phishingowych, nowoczesne exploity w coraz większym stopniu opierają się na zdyscyplinowanych łańcuchach finansowania, zautomatyzowanym zaciemnianiu i wektorach ataków ukierunkowanych na mechanizmy zarządzania, a nie na luki techniczne.

Śledczy uważają, że incydent z Balancerem pokazuje, że atakujący ewoluują szybciej niż obecne modele bezpieczeństwa DeFi.

Wraz z rozwojem sektora eksperci ostrzegają, że różnica między syndykatami przestępczymi a hakerami powiązanymi z państwem zaciera się, a obie grupy dzielą się narzędziami, infrastrukturą i taktykami.

Dochodzenie Balancera trwa, a projekt wzywa giełdy i dostawców portfeli do monitorowania podejrzanych wpływów.

Wynik może ukształtować sposób, w jaki branża DeFi ponownie myśli o ramach bezpieczeństwa, audytach i mechanizmach ubezpieczeniowych w nadchodzących latach.