balancer è stato appena svuotato per ~$116M non era sofisticato. era un bug di controllo degli accessi di base nel loro contratto di vault ecco come è successo, cosa rivela - e perché dovrebbe spaventare ogni protocollo defi in vita: 1/

l'exploit ha colpito balancer v2 oggi su ethereum, arbitrum, polygon, base, optimism e altro oltre 116 milioni di dollari scomparsi. 6.590 WETH. 6.851 osETH. 4.260 wstETH tutti prelevati dal vault principale a 0xBA1...BF2C8 2/

il bug era in "manageUserBalance" - una funzione che dovrebbe convalidare chi può spostare fondi invece, ha confuso msg.sender con un campo op.sender fornito dall'utente gli attaccanti hanno utilizzato operazioni WITHDRAW_INTERNAL per drenare token che non hanno mai depositato 3/

cosa rende tutto questo peggiore? balancer V2 utilizza un'unica cassaforte per tutto. ogni pool, ogni catena. colpisci la cassaforte, colpisci tutte. molti fork sono a rischio anche loro. 4/

questo è il terzo grande hack di balancer in cinque anni 2021, 2023 e ora 2025: oltre $116M e in aumento 5/

facciamo un passo indietro. Balancer non è un esperimento. $750M TVL. auditato. è attivo da anni. eppure: una semplice vulnerabilità nel controllo degli accessi è rimasta in produzione, gli audit l'hanno trascurata, nessuna corretta validazione del mittente, fondi mescolati in un'unica vault centrale. 6/

questo è il terzo grande hack di Balancer in cinque anni 2021: milioni persi 2023: $238K dopo essere stati avvisati 2025: oltre $116M non è solo un problema di Balancer. è un problema di illusione del defi "audited" =/= sicuro. "battle-tested" =/= protetto 7/

conclusione: i bug di controllo degli accessi di base stanno ancora distruggendo i protocolli blue-chip se stai costruendo: rivedi ogni controllo dei permessi due volte. se sei un utente: "audited" significa che qualcuno ha guardato una volta, non che sia a prova di proiettile non era avanzato. siamo solo negligenti 8/

defi può fare di meglio. ma prima, dobbiamo ammettere: le basi contano ancora più dell'hype. pubblicherò di più man mano che il trail onchain evolve 9/

ci sono alcuni rapporti che l'attaccante non ha semplicemente sfruttato i permessi. ha manipolato il prezzo di BPT attraverso la perdita di precisione nei calcoli di StableSwap. - drenare un token fino a un margine di arrotondamento - sfruttare gli errori di arrotondamento per deflazionare il prezzo di BPT - riacquistare BPT a buon mercato, profitto /10

maggiori dettagli qui su come è stata effettuata la manipolazione dei prezzi[1] sto ancora aspettando la risposta ufficiale del bilanciatore. continuerò ad aggiornare il thread man mano che le cose si sviluppano. [1]