Berachain Précipite un Hard Fork Après qu'une Exploitation de 12 M$ Vide un Pool Clé

TLDR

• La Fondation Berachain a distribué un binaire de Hard Fork d'urgence aux validateurs suite à une exploitation majeure.
• L'attaque a drainé environ 128 millions de dollars des pools Balancer V2 sur les réseaux Ethereum, Arbitrum, Base et Polygon.
• L'échange décentralisé BEX de Berachain a perdu environ 12 millions de dollars principalement de son tripool Ethena/Honey.
• Les validateurs ont arrêté le réseau Berachain le 3 novembre pour empêcher d'autres mouvements de jetons non autorisés.
• Nansen a identifié un mécanisme de contrôle d'accès défectueux qui a permis à l'attaquant de fabriquer des frais en 90 secondes.

La Fondation Berachain a distribué un binaire de Hard Fork aux validateurs suite à une exploitation majeure. L'attaque ciblait les pools Balancer V2 et a affecté plusieurs réseaux blockchain. Les validateurs ont commencé à mettre à niveau leurs systèmes pour empêcher d'autres mouvements de jetons non autorisés.

Berachain BEX perd 12 millions de dollars dans l'exploitation de Balancer

Les validateurs de Berachain ont arrêté le réseau le 3 novembre après une grave faille de sécurité. L'exploitation a drainé environ 128 millions de dollars des pools Balancer V2 à travers plusieurs chaînes. Les réseaux Ethereum, Arbitrum, Base et Polygon figuraient parmi ceux touchés par l'attaque.

La société d'analyse blockchain Nansen a identifié un mécanisme de contrôle d'accès défectueux comme cause principale. L'attaquant a créé des frais fabriqués et les a convertis en actifs retirables. Deux transactions Ethereum exécutées en 90 secondes ont permis l'opération entière.

La vulnérabilité s'est étendue à BEX, qui fonctionne comme un fork de Balancer V2. L'échange décentralisé de Berachain a perdu environ 12 millions de dollars dans l'incident. Le "tripool Ethena/Honey" sur BEX a subi la majorité des pertes.

Le Hard Fork d'urgence résout la vulnérabilité de sécurité

La fondation a déclaré que de nombreux validateurs ont terminé le processus de mise à niveau binaire. Le Hard Fork empêche les jetons exploités de quitter le réseau Berachain. Il bloque également les attaques potentielles futures sur l'infrastructure de la plateforme.

"Avant de reprendre la production de blocs, nous aimerions nous assurer que les partenaires d'infrastructure essentiels aux opérations de la chaîne ont mis à jour leurs RPCs," a écrit la fondation. Les partenaires d'infrastructure restent le principal obstacle à la reprise des opérations normales. L'équipe coordonne avec ces partenaires pour compléter les mises à jour nécessaires.

L'incident a affecté des actifs non natifs au-delà des jetons BERA. Cette complexité nécessite plus qu'une simple solution de Hard Fork. La fondation a expliqué qu'un processus complet d'annulation ou de progression est nécessaire.

L'opérateur du Bot Anti-MEV signale sa volonté de restituer les fonds

La Fondation Berachain négocie avec le détenteur actuel des actifs drainés. Le détenteur exploite un bot Anti-MEV et prétend être un acteur "white hat". L'opérateur a indiqué sa volonté de pré-signer des transactions pour le retour des fonds.

Les fonds seront restitués une fois que Berachain reprendra ses opérations normales. La fondation prévoit de mettre en œuvre des mesures de sécurité supplémentaires sur BEX et d'autres applications. Les détails concernant ces améliorations de sécurité seront partagés après la mise en ligne de la chaîne.

Le co-fondateur Smokey The Bera a décrit l'arrêt du réseau comme "controversé mais nécessaire". L'action visait à protéger les dépôts des utilisateurs contre d'autres pertes. L'enquêteur on-chain ZachXBT a approuvé la pause comme une décision centrée sur l'utilisateur.

La fondation fournira des informations sur les plans futurs pour BEX. Elle abordera également les effets secondaires de l'incident de 24 heures. Berachain continue de travailler à la restauration complète du réseau.

L'article Berachain se précipite vers un Hard Fork après une exploitation de 12 millions de dollars qui vide un pool clé est apparu en premier sur CoinCentral.