Атака в стиле «Office Space»: хакер обнаружил уязвимость в округлении и вывел $120 млн из Balancer.

Команда Balancer официально подтвердила, что причиной атаки стала ошибка при округлении значений в механизме пакетных обменов.

В начале недели в децентрализованном протоколе Balancer была выявлена критическая уязвимость, которой злоумышленник немедленно воспользовался. По предварительным оценкам, ему удалось вывести криптоактивы примерно на 120 млн долларов, возможно даже больше. Изначально точный механизм атаки оставался неясным, однако позже разработчики опубликовали первичный анализ. Согласно их объяснению, проблема возникла из-за особенностей обработки балансов токенов и способа округления чисел во время расчетов.

Для DeFi-сообщества случившееся стало шоком. Balancer считается зрелым и проверенным временем проектом, неоднократно проходившим аудит у крупных компаний. Более того, эксплуатируемая версия протокола использовалась с 2021 года и долго считалась надежной.

Бывший глава CISA США Крис Кребс, комментируя ситуацию в эфире CNBC, сравнил метод атаки с сюжетом из фильма «Офисное пространство». В кинокартине герои тоже зарабатывали на едва заметных долях цента в больших объемах операций. По мнению Кребса, в подготовке эксплойта вполне могла применяться помощь ИИ — что делает историю еще примечательнее.

Если упростить техническое объяснение, проблема возникла в логике округления внутри режима пакетных обменов EXACT_OUT. В этом режиме протокол пересчитывал значения для получения более точного результата, но иногда при вычислениях суммы округлялись в меньшую сторону. Разница была крошечной, но если повторять операцию много раз и одновременно манипулировать состоянием пула, можно было стабильно извлекать прибыль. Именно на этом строилась атака — поэтому аналогия с «Офисным пространством» оказалась настолько точной.

Интересной частью ситуации стала реакция сетей, через которые проходили похищенные средства. Некоторые блокчейны заблокировали активы злоумышленника, не позволив ему вывести их полностью. Это противоречит принципу абсолютной автономности смарт-контрактов и идее «код — это закон», но фактически демонстрирует, что многие сети и протоколы сохраняют элементы централизованного контроля.

Согласно данным Unchained, сети Polygon и Sonic заморозили активы, связанные с атакой. Сеть Berachain пошла дальше и срочно внедрила хардфорк, чтобы предоставить пострадавшим пользователям возможность вернуть средства.

Ситуация напоминает историю с взломом The DAO почти десять лет назад, когда для восстановления средств разработчикам Ethereum также пришлось вмешаться в работу сети. Сегодня видно, что индустрия продолжает искать компромисс между полной децентрализацией и необходимостью оперативного реагирования на атаки. Формально заявляется свобода и независимость пользователей, но на практике при крупных инцидентах приходится прибегать к ручному управлению. Дополнительным примером зависимости криптоэкосистемы от централизованной инфраструктуры стали недавние сбои в Amazon Web Services, которые также повлияли на работу ряда криптосервисов.