Balancer24小时内再次爆雷，0.43ETH撸走了10.85ETH，雷神投的BAL亏了近四成

01

Balancer不到24小时又出现重大安全漏洞

最新消息，因为Balancer的漏洞，今晚20:00，又被黑客写智能合约，花费了0.43ETH的手续费，撸走了10.85个ETH。

下面这是交易记录。@Incredible 感谢小in的分析和素材。漏洞都是他看出来的，是个能人。

https://etherscan.io/tx/0xa519835c366bc77d93c9d3e433e653bfc46120688ad146b383f4dd93342cad29/advanced

雷神不幸前几天还投了一万两千元的BAL，本就跌得厉害。今早听闻Balancer爆出了智能合约漏洞，立马清仓了。结果没想到没到24小时，Balancer就再次爆发了安全事件，这是Balancer一天之内第二次爆发了安全漏洞事件。DeFi项目的安全性确实值得深思。

02

攻击过程

这次是COMP+Balancer+Uniswap跨系统撸羊毛攻击。

简单来说，就是利用Balancer的漏洞，黑客搞了256个内联交易，超高频存入，撸走了在Balancer里的COMP挖矿收益。

总体过程是这样的。

就是他借了一大堆ETH，DAI，USDC，去存Compound借BAT，借BAT存BAT，存的BAT和借存的USDT还有一堆COMP，存Balancer的池子里去了，然后马上拿出来，顺带带走没结算的利息。

前面那些其实没有异常，就是最后存入Balancer池子里，然后提出来，也就是红字的部分出了问题。

所有用户存到Balancer池的币，Balancer会帮用户去挖COMP，然后按比例。等用户提币的时候分配给用户，但是该池子有个漏洞，之前积攒的COMP，会被后面来的用户闪存闪提给提走。主要原因是Balancer的分配机制存在问题。黑客高频充提，虽然每次提币后在最后结算COMP收益时却没有清零。这个问题就导致了，高频充提后黑客的COMP分配权重就会累积到非常高的比例。

比如池子里一共有1万USDT，这个黑客有1万USDT充进来，然后提出去，然后池子分配挖到的COMP时总权重就变成了2万USDT。然后黑客疯狂充提了99次，总权重变成了100万USDT，这个黑客就能分得池子里未分配的COMP的99%。如果充提次数继续增加，黑客几乎就能提走全部的池子挖到的未结算的COMP。

这次攻击最后就提走了全部的COMP，价值10.85个ETH。

还好雷神卖的快，这次漏洞消息还没传开，还没反应到币价上。我19.5美元进的，早上11.7美元出的，才三天时间，亏掉了4000多，四成没了。好惨。DeFi代币投资需谨慎啊。

这次Balancer问题大了。希望赶快修复漏洞吧。

不再当韭菜！

不知道币圈价值投资的朋友有多少，反正我觉得币圈还是应该价值投资，找币圈价值观相同的朋友。

本人目前持有BTC、ETH、EOS、YAS和内容平台的币。建了三个价值研究群，和大家一起长期持有。欢迎大家来交流。只钻研，不喊单，不广告，一起做币圈投资精英，加雷神的微信，拉您入群：ghl995765528

—-

编译者/作者：葛洪雷

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。