Theo Odaily Planet Daily, BlockSec Phalcon, nền tảng theo dõi trên chuỗi thuộc công ty bảo mật BlockSec, đã tuyên bố trên nền tảng X rằng "Balancer và một số nhánh của nó đã bị tấn công cách đây vài giờ, gây ra thiệt hại vượt quá 120 triệu đô la trên nhiều chuỗi. Đây là một cuộc tấn công cực kỳ tinh vi."

Phân tích sơ bộ cho thấy nguyên nhân gốc rễ là kẻ tấn công đã thao túng phép tính bất biến của giá BPT, do đó làm sai lệch phép tính giá BPT và cho phép kẻ tấn công kiếm lợi từ một nhóm stablecoin cụ thể thông qua một loạt giao dịch duy nhất.

Lấy giao dịch tấn công vào Arbitrum làm ví dụ, hoạt động hoán đổi số lượng lớn có thể được chia thành ba giai đoạn:

1. Kẻ tấn công đã đổi BPT lấy tài sản cơ sở để điều chỉnh chính xác số dư của một token duy nhất (cbETH) gần với ranh giới làm tròn (số tiền = 9). Điều này mở đường cho việc mất độ chính xác sau đó.

2. Kẻ tấn công sau đó đã sử dụng một số lượng được xây dựng sẵn (= 8) để hoán đổi giữa một token cơ sở khác (wstETH) và cbETH. Do quy mô số lượng token được làm tròn xuống, Δx tính toán giảm nhẹ (từ 0,918 xuống 8), khiến Δy bị đánh giá thấp, do đó làm cho bất biến (D) trong mô hình StableSwap của Curve nhỏ hơn. Vì giá BPT = D / tổng cung, giá BPT bị giảm một cách giả tạo.

3. Kẻ tấn công đảo ngược tỷ giá hối đoái bằng cách chuyển đổi tài sản cơ sở trở lại BPT, khôi phục số dư và kiếm lợi từ việc giá BPT giảm.