بالانسر تعرض لهجوم من قبل هاكر بقيمة 116 مليون دولار، هل أسطورة أمان التمويل اللامركزي تتعرض مرة أخرى لنقطة انهيار؟

“كل عقد يستغرق وقتًا طويلاً على الإطلاق عند تعرضه للهجوم، يعيد عملية اعتماد التمويل اللامركزي من 6 إلى 12 شهرًا.” أدلى بذلك هاسو، مدير استراتيجيات flashbots ومستشار استراتيجي لـ Lido، بعد اختراق Balancer.

في 3 نوفمبر، تعرض بروتوكول التمويل اللامركزي Balancer، وهو من أقدم البروتوكولات، لهجوم غير مسبوق، وخسائر تصل إلى 116.6 مليون دولار.

تم سرقة هذا المبلغ الضخم بسرعة من خلال ثغرة في عقد ذكي لبركة Balancer V2، تتعلق باستدعاء عبر السلاسل في داخله. حتى 4 نوفمبر، كان الهاكرز يحولون الأصول المسروقة إلى ETH عبر Cow Protocol.

01 مراجعة الحدث: تبخر الأموال الضخمة في لحظة

أشعل هجوم Balancer في 3 نوفمبر عالم التشفير، حيث كانت قيمة المبلغ المسروق في البداية حوالي 70 مليون دولار، ثم استمرت في الارتفاع.

حتى وقت إعداد المقال، بلغ إجمالي الخسائر 116.6 مليون دولار، مما جعله أخطر حادث أمني في تاريخ Balancer.

تشير المعلومات على السلسلة إلى أن الأصول الرئيسية التي سرقها المهاجمون تشمل رموز WETH وwstETH وosETH وfrxETH وrsETH وrETH وغيرها من رموز الرهن السائل.

توزعت هذه الأصول عبر عدة سلاسل مثل ETH وBase وSonic، وكانت الخسائر الأكبر على شبكة إيثريوم، حيث اقتربت من 100 مليون دولار.

02 تحليل الثغرة: كارثة بسبب خطأ بسيط

حدد خبراء الأمن بسرعة أصل الثغرة. وفقًا لتحليل من مؤسستي المراقبة الأمنية Defimon Alerts وDecurity، كانت المشكلة في فحص التحكم في الوصول في وظيفة manageUserBalance لبروتوكول Balancer V2.

عند التحقق من صلاحية السحب من بروتوكول Balancer V2، كان من المفترض أن يتحقق من أن من ينادي هو المالك الحقيقي للحساب، لكن الكود خاطئًا فحص أن msg.sender (المنادي الحقيقي) يساوي المعامل op.sender الذي يقدمه المستخدم.

نظرًا لأن op.sender هو مدخل يمكن للمستخدم التحكم فيه، يمكن للمهاجمين تزوير هويتهم بحرية وتجاوز التحقق من الصلاحيات.

هذا الخطأ الأساسي في التحكم بالوصول ظهر في بروتوكول ناضج يعمل منذ 5 سنوات، مما أثار دهشة خبراء الأمن.

03 استعراض تاريخي: ستة حوادث أمنية خلال ست سنوات لبالانسير

إذا كنت معتادًا على عنوان “تم اختراق Balancer”، فليس من المستغرب أن يكون الأمر كذلك. هذه هي المرة السادسة التي يتعرض فيها Balancer لحادث أمني خلال 5 سنوات.

تاريخيًا، سجل Balancer الأمني لم يكن مشجعًا:

• يونيو 2020: ثغرة في رموز الانكماش، خسارة حوالي 520 ألف دولار
• مارس 2023: تأثر بشكل غير مباشر بسبب حادث Euler، خسارة حوالي 11.9 مليون دولار
• أغسطس 2023: ثغرة في دقة بركة V2، خسارة حوالي 2.1 مليون دولار
• سبتمبر 2023: هجوم عبر DNS، خسارة حوالي 240 ألف دولار
• يونيو 2024: اختراق مشروع fork Velocore، خسارة حوالي 6.8 مليون دولار

تكرار الحوادث الأمنية يوضح هشاشة خط الدفاع في Balancer وبيئة التمويل اللامركزي بشكل عام.

04 تأثير السوق: انهيار الثقة وانخفاض الأسعار

كان رد فعل السوق على هذا الهجوم سريعًا وشديدًا. وفقًا لبيانات CoinMarketCap، انخفض رمز BAL (بالانسير) بنسبة 7.13% في 3 نوفمبر، ليصل إلى 0.92 دولار.

القيمة السوقية الحالية لـ BAL تقدر بحوالي 62.2 مليون دولار، بانخفاض حوالي 4.775 مليون دولار عن الأمس. وبيانات منصة Gate تظهر أن سعر BAL ظل تحت ضغط مستمر خلال الفترة الماضية.

ثقة المستثمرين في أمان بالانسير تضررت بشدة، ويقومون الآن بتعديل استراتيجياتهم بشكل نشط، مع وجود ضغط بيعي واضح.

ومن الطرائف أن، وفقًا لمراقبة LookonChain، كان هناك حوت تشفير نائم منذ 3 سنوات استيقظ بعد ثغرة Balancer، ويسارع الآن في سحب أصوله التي تقدر بـ 6.5 مليون دولار من المنصة.

05 ردود الفعل الصناعية: إنقاذ داخلي وإيقاف العمليات

في مواجهة الأزمة المفاجئة، بدأ العديد من المشاريع المتكاملة مع Balancer في اتخاذ إجراءات إنقاذ داخلي:

• Lido سحب مراكز Balancer غير المتأثرة
• Berachain أعلنت مباشرة عن إيقاف الشبكة لإجراء تصحيح عاجل عبر fork لإصلاح الثغرة المتعلقة بـ Balancer V2 على BEX
• مؤسس Berachain، Smokey The Bera، ذكر أن فريق Ethena قام بتعطيل جسر Bera وإيقاف العمليات في الأسواق ذات الصلة

هذه الإجراءات تظهر المكانة الحيوية لبالانسير في بيئة التمويل اللامركزي، كما تبرز أن ثغرة في بروتوكول واحد قد تؤدي إلى مخاطر نظامية.

06 مستقبل أمان التمويل اللامركزي: من ديون تقنية إلى إدارة المخاطر

إحدى ابتكارات Balancer — السماح بتركيبة رموز ذات أوزان مخصصة تصل إلى 8 رموز — أصبحت أيضًا نقطة ضعف أمنية.

مقارنة بتصميم Uniswap البسيط، زادت تعقيدات Balancer بشكل أسي. مع إضافة رمز جديد، يتوسع فضاء الحالة في البركة بشكل كبير، ويزداد سطح الهجوم.

اختارت Balancer مسار التطوير السريع. من V1 إلى V2، ثم إلى أنواع مختلفة من Boosted Pool، كل ترقية تضيف وظائف جديدة على الكود القديم.

تراكم “ديون التقنية” هذا جعل قاعدة الكود كأنها برج من البلوك هش.

بحلول 2025، يواجه التمويل اللامركزي تحديات جديدة. هجوم TEE.Fail أظهر أن حتى التدابير الأمنية على مستوى الأجهزة يمكن تجاوزها بأدوات بقيمة 1000 دولار.

وقد انتقلت طرق الهجوم من ثغرات العقود الذكية إلى ثغرات العمليات، حيث أن 80.5% من الخسائر الآن تأتي من تهديدات خارج السلسلة مثل التصيد الاحتيالي، والتوزيعات المزيفة، وتسريب المفاتيح الخاصة.

لمواجهة هذه التحديات، يتم الآن تقليل خسائر استغلال الثغرات بنسبة تصل إلى 90% باستخدام تقنيات التشفير مثل إثبات المعرفة الصفرية والمحافظ متعددة التوقيعات.

07 دليل للمستثمرين: التقدم بحذر وسط المخاطر

بالنسبة للمستثمرين، فإن هذا الحدث يذكرهم مرة أخرى بضرورة الحذر. عند التنقل في عالم التمويل اللامركزي، يجب تذكر:

• سحب الأموال من البركة المتأثرة: فورًا، لتجنب تفاقم الخسائر
• إلغاء الموافقات: باستخدام Revoke أو DeBank أو Etherscan، لإلغاء صلاحيات العقود الذكية على العنوان
• تفضيل المشاريع التي خضعت للتدقيق: التركيز على البروتوكولات التي تتضمن تدقيق العقود الذكية ومراقبة الوقت الحقيقي ودوائر الإيقاف
• استخدام محافظ متعددة التوقيعات: لتقليل مخاطر نقطة الفشل الوحيدة، خاصة للمراكز الكبيرة

آفاق المستقبل

حتى 4 نوفمبر، بدأ الهاكرز في تحويل رموز الرهن السائل المسروقة إلى ETH عبر Cow Protocol. رصد محللو السلسلة أن المهاجمين يواصلون مبادلة الأصول المسروقة عبر سلاسل متعددة إلى ETH وUSDC وغيرها من الأصول الرئيسية.

أعلنت Balancer أنها مستعدة لدفع 20% من الأصول المسروقة كمكافأة بيضاء لاسترداد الأصول، خلال 48 ساعة. لكن، مع ذلك، فإن أمل استرداد الأصول المسروقة يتضاءل أكثر.

بالنسبة للمراقبين، فإن التمويل اللامركزي هو تجربة اجتماعية جديدة؛ وللمشاركين، فإن سرقة التمويل اللامركزي درس مكلف؛ وللصناعة ككل، فإن استقرار التمويل اللامركزي هو الرسوم التي يجب دفعها للوصول إلى النضج.