oleh Frank, PaNews
Pada 3 November, langit dari dunia DeFi robek terbuka. Perjanjian lama DeFi Balancer memiliki transfer dana yang sangat besar. Pada jam-jam berikutnya, seluruh industri menyaksikan bencana yang sebenarnya, dengan dana yang rusak naik dari $70 juta awalnya dilaporkan menjadi $116.6 juta, akhirnya stabil pada angka yang mengkhawatirkan sebesar $128.64 juta。
Di balik jumlah besar kerusakan adalah fakta bahwa kesepakatan Balancer V2 memiliki sebanyak 27 & ldquo; kesepakatan untuk off & rdquo; dan mereka sama-sama terkena risiko sistemik yang ditimbulkan oleh lubang mematikan yang lama berdiri。
Balancer V2 diretas dan $128 juta dicuri
Pada 3 November, keamanan perusahaan perisai pada rantai melihat transfer yang tidak biasa ke lemari besi Balancer V2. Sejumlah besar WETH dan flow- berbasis derivatif (wSTETH, OSETH) ditransfer ke dompet baru。
Selanjutnya, tim Balancer dengan cepat menegaskan bahwa ada serangan berantai dan bahwa, sebagai rantai terus dimonitor, jumlah kerusakan akhirnya dihitung mencapai $128 juta. Menurut tim Balancer, jangkauan serangan dibatasi untuk V2 menyusun stabilisator. Arsitektur V3 terbaru dan tipe kolam V2 lainnya (misalnya berat kolam) tidak terpengaruh。
Seperti pada 4 November, tim Balancer belum mengungkapkan alasan khusus untuk serangan itu. Namun, menurut analisis dari berbagai perusahaan keamanan dan analis rantai, akar dari serangan itu adalah satu & ldquo; akses akses yang rusak cek & rdquo; dan sebagian akses-cek kontrol。
Penyerang mengirim instruksi jahat dibangun ke lemari besi dengan memanggil fungsi manajeUserbalance dari protokol V2. Direktif menipu buku internal perjanjian untuk meyakinkan mereka bahwa & ldquo; perjanjian hanya dikenakan biaya besar & rdquo; dan & ldquo; kepemilikan biaya milik penyerang & rdquo; selanjutnya, penyerang ditransfer sejumlah besar aset ke rekening mereka sendiri menggunakan persyaratan penarikan normal。
DARI SUDUT PANDANG TEKNIS, PENYELESAIAN SERANGAN ITU TIDAK BEGITU BANYAK TENTANG KEMAMPUAN TEKNIS KARENA ITU TENTANG PENYERANG MEMBUAT PENGGUNAAN PINTAR DARI CELAH LOGIS DALAM PERJANJIAN. MENURUT ANALIS, HACKER MENINGGALKAN KONTROL MEREKA MEJA LOG SELAMA SERANGAN DAN, DALAM TERANG JEJAK KEBIASAAN, KEMUNGKINAN BAHWA HACKER TELAH MENGGUNAKAN MODEL AI BESAR UNTUK MENGEMBANGKAN DAN MENINJAU KODE, SEHINGGA MENGIDENTIFIKASI KEKURANGAN AUDIT MANUSIA。
27 forklift perjanjian & ldquo; pistol berbohong & rdquo; dan memulai langkah-langkah darurat melintasi rantai
Industri ini benar-benar kecewa dengan fakta bahwa Balancer V2 belum mampu mengidentifikasi celah ini setelah 11 audit dari empat perusahaan keamanan yang berbeda: OpenZeppelin, Trail of Bits, Certora dan ABDK。
Paling ironisnya, komponen tertentu dari & ldquo; Stable Pool & rdquo; (Composable Stable Pool) secara khusus diaudit oleh Certora dan Trail of Bits pada September 2022。
Sebagai perjanjian DeFi yang telah berada di jalur selama bertahun-tahun dan tampaknya telah dipasarkan - diuji, perjanjian Balancer V2 telah dikembangkan sebagai template sampai 27 & ldquo; Perjanjian Fork & rdquo; dan mereka semua mewarisi celah logis Balancer V2. Bagi hacker, celah seperti kepemilikan kunci universal yang dapat membuka kubah & ldquao, yang memiliki kode cacat yang sama setiap saat。
Bahkan, serangan hacker ini telah menyebar ke rantai. Di antaranya, Balancer V2 (Perjanjian Utama) dari jaringan ETA paling menderita, dengan diperkirakan kerugian $100 juta. Ini diikuti oleh perjanjian Berachain BEX, yang dapat mengakibatkan kerugian sebesar $12.86 juta. Selain itu, perjanjian tujuh-link, seperti Arbitrum, Base dan Sonic, terpengaruh oleh serangan。
industri menghadapi dilema dalam menghadapi bencana ini: apakah itu harus bersikeras pada & ldquo; kode & rdquo; fundamentalisme decentrical, dan menonton dana pengguna dicuri? atau ada intervensi pusat untuk melindungi pengguna
Berachain, yang terburuk terpengaruh, mengambil keputusan yang paling radikal dan kontroversial: mengkoordinasikan nodus validasi dan menangguhkan seluruh jaringan. Dengan mundur, Berachain menyelamatkan lebih dari $12 juta aset yang beresiko pada BeX Exchange。
Tentu saja, ini pasti menimbulkan kontroversi masyarakat, dengan beberapa pertanyaan: & ldquao; apakah ini tidak sepenuhnya merusak Anda & lssquao; rantai & rsquao; ultimateitas dan keamanan? Sekarang lebih seperti rantai pribadi daripada rantai blok publik? & rdquo; sebagai balasan, pendiri kode anonim Berachain, Smokey the Bera, menjawab: & ldquo; saya pikir kekhawatiran Anda masuk akal, tapi saya percaya bahwa keadaan yang sangat ekstrim membutuhkan cara yang luar biasa & mdash; & mdash; kita telah melihat praktek yang sama di masa lalu dalam kasus seperti Sui dan Hiperflute. & rdquo;
sebagian besar anggota komunitas mendukung keputusan ini, setelah semua, dampak negatif dari kolam renang yang susah payah diperoleh bisa jauh lebih besar daripada apa yang disebut & ldquo; decentrization & rdquo, dan iman。
Rantai Sonic mengaktifkan & ldquo; mekanisme pembekuan akun rantai & rdquo; dan, tanpa menghentikan jaringan, mengunci dompet penyerang dan $3.4 juta dalam dana mereka. Node sertifikasi Polygon dimulai aktif & ldquo; ulasan dan rdquo; transaksi dari alamat penyerang。
ADA BEBERAPA KEBOCORAN, DAN KEMBALI TVL TELAH MEMICU KRISIS KEPERCAYAAN
Sejarah pembangunan Balancer juga, pada kenyataannya, salah satu kompetisi konstan dengan celah logis yang kompleks. Sebelumnya, Balancer telah menjadi sasaran serangan hacker pada beberapa kesempatan, dengan jumlah kumulasi setidaknya lima kebocoran antara 2020 dan 2025. Serangan ini berkisar dari serangan petir awal ke V2 yang lebih kompleks ke lubang yang ditingkatkan di kolam renang。
Dalam kasus sebelumnya, bagaimanapun, jumlah kerusakan telah berada dalam kisaran sekitar US $Ratusan ribu untuk US $2 juta. Untuk Balancer, serangan masa lalu ini lebih dari kesempatan untuk menutup celah. Tragedi ini, yang diperkirakan memiliki biaya miliaran, secara langsung merusak kepercayaan dan kepercayaan pasar Balancer。
Menurut Defillama, setelah serangan itu, TVL Balancer jatuh langsung dari $776 juta menjadi $345 juta, pengurangan lebih dari setengah. Secara khusus, Balancer V2 melihat pengurangan langsung dari $230 juta di TVL, dan Balancer V2 juga ditarik dari kolam renang, dengan Gaming DEX 's TVL jatuh 87 persen dalam satu hari dan Beets DEX dengan 48 persen。
Lido juga menyatakan bahwa, meskipun perjanjian Lido belum terpengaruh, karena pertimbangan hati-hati, itu telah menarik posisi Balancer yang tidak terpengaruh。
Memang, forklift perjanjian seperti Gaming DEX juga setelah insiden tersebut menunjukkan bahwa mereka tidak benar-benar terpengaruh, hanya untuk menarik sebagian besar dana untuk alasan keamanan。
Untuk perjanjian DeFi, kepercayaan lebih penting daripada emas, terutama dalam konteks sejarah serangan berulang. Seperti pada 4 November, menurut keterangan resmi, StarkWise DAO telah pulih lebih dari $20 juta dari hacker melalui kontrak multi-signory. Ini juga mengurangi kerugian sebesar $98 juta. Pada saat yang sama, transfer aset hacker masih berlangsung dan lebih dari setengah telah digantikan dengan ETH。
Ini $128 juta serangan menjadi kursus wajib mahal dalam pertumbuhan DeFi dan meningkatkan tiga pertanyaan akut
1 ketika & ldquo; gold standard & rdquo; 11 audit tidak dapat mendeteksi celah fatal selama dua tahun, audit & rdquo; apa artinya
Ketika & ldquo; kode penyakit menular & rdquo; menjadi normal, dan celah dari perjanjian dasar dapat menghancurkan 27 perjanjian turunan seketika, apakah kombinasi DeFi 's inovasi atau kutukan
3 ketika rantai publik yang muncul dipaksa untuk & ldquo; desentralisasi dan rdquo; dan & ldquo; menyimpan pengguna & rdquo; pilih antara, & ldquo; kode & rdquiao; memiliki cara ideal diberikan ke & ldquo; pragmatis sentralisasi & rdo
Di masa depan, keamanan DeFi mungkin tidak lagi bergantung semata-mata pada audit lebih, tapi lebih pada desain perjanjian yang sederhana, lebih kuat dan mendasar kurang agresif. Bagi pengguna yang kehilangan kepercayaan dan modal dalam hal ini, biaya realisasi ini sangat besar。