Por trás do ataque do Balancer: além das demissões na equipe de segurança, também devemos prestar atenção às preocupações ocultas do front-end centralizado

 Escrito por:Luccy、Kaori、BlockBeats

Editor: Jack, BlockBeats

Em 20 de setembro, o Balancer sofreu uma perda de US$ 238.000 em uma nova rodada de ataques. A análise da SlowMist Intelligence acredita que este é um ataque de sequestro de BGP. Visitar o site para vincular a carteira causará ataques de phishing. Posteriormente, SlowMist MistTrack afirmou que a taxa do atacante do Balancer veio do grupo de phishing Angel Drainer. Atualmente, o Balancer diz que a segurança do frontend foi restaurada e está de volta ao controle do Balancer DAO.

BGPHijacking, também conhecido como sequestro de rota BGP, é um método de ataque front-end. Em um ataque de sequestro de BGP, o invasor envia informações falsas de atualização de roteamento BGP para fazer com que outros roteadores direcionem o tráfego na direção errada, espionando, adulterando ou interrompendo o tráfego. Simplificando, o site conseguiu enviar e-mails de spam aprovando transações, permitindo que o contrato malicioso desviasse todos os fundos do usuário.

Esta também é a maior diferença em relação aos ataques anteriores – o ataque teve como alvo o front-end do Balancer.

OpCo, Orb Collective e o custo da mudança nas estratégias de crescimento

Vale ressaltar que antes deste ataque, a Balancer teve outra notícia importante: em 14 de abril, o prestador de serviços da Balancer, Balancer OpCo, anunciou que havia demitido dois engenheiros e reduzido seu orçamento operacional.

Balancer OpCo é uma subsidiária integral da Balancer Foundation e fornece provedores de serviços de gerenciamento e operações, bem como desenvolvimento front-end e fluxos de trabalho de engenharia para Balancer. De agosto do ano passado a junho deste ano, 7 propostas envolvendo Balancer OpCo no Balancer DAO mostraram que 5 das propostas foram aprovadas.Além do financiamento da equipe, foram transferidos 250 mil BAL adicionais para a OpCo para que a OpCo pudesse trabalhar para vendas privadas de fichas. Atualmente, também estão em fase de discussão preliminar propostas de financiamento para o funcionamento da plataforma no próximo ano.

No entanto, à medida que o acordo mudou seu foco para melhorar a interface do usuário e o marketing, o número de funcionários da Balancer OpCo foi reduzido. Para este fim, o Balancer estabelecerá uma equipe de marketing dedicada, Orb Collective, responsável por discutir mecanismos sobre como o Balancer pode trabalhar com os usuários da plataforma para promover o desenvolvimento do protocolo Balancer por meio de parcerias, marketing, integração, design e esforços de operações de pessoas para expandir o protocolo Balancer.taxa de adoção global. Em agosto do ano passado, o Orb Collective foi lançado oficialmente, e a equipe afirmou que a nova estratégia de promoção também usará “sons nativos criptografados do Twitter”.

Vale destacar que em abril deste ano, a Balancer Governance atualizou o plano financeiro da Orb Collective em uma proposta de renovação do contrato de auditoria de contratos inteligentes da Certora, a partir do segundo trimestre de 2023, com o objetivo de alocá-lo do orçamento da Orb Collective para a OpCo. a segurança dos fundos dos usuários do Balancer. No entanto, quase 80% dos membros da comunidade Balancer DAO rejeitaram a proposta da Balancer OpCo Limited de realizar uma auditoria de contrato inteligente.Esta foi a única proposta rejeitada entre as sete propostas.


No mesmo mês, a Coindesk publicou um artigo intitulado “DeFi Protocol Balancer corta orçamento e número de funcionários à medida que a estratégia muda”, afirmando que o Balancer fará ajustes estratégicos. De acordo com o artigo, a equipe do Balancer OpCo revelou em uma teleconferência do Discord com a presença de mais de 20 pessoas em abril deste ano que a empresa havia demitido dois engenheiros e reduzido seu orçamento operacional.

“Temos uma nova visão para a marca Balancer com a qual estamos muito entusiasmados", disse Jeremy Musighi, CEO da Orb Collective. “Ao mesmo tempo, temos feito algumas mudanças em nossa equipe de marketing para garantir que tenhamos as pessoas certas. . Para executar esta nova visão." No terceiro trimestre de 2022, a equipe Orb solicitou um orçamento operacional de US$ 76.000, na esperança de expandir a voz do Balancer em plataformas sociais, podcasts, manutenção de relacionamento com a comunidade, etc. No quarto trimestre, a proposta de solicitação de orçamento afirmava que, devido ao ciclo do mercado em baixa, o orçamento operacional da equipe Orb era de apenas US$ 48.000, uma queda de quase 50%.

Ao mesmo tempo, a equipe afirmou que isso visa reformar a estratégia da marca e voltará seu foco para a melhoria da interface do usuário e do marketing no futuro. Quando esta notícia foi anunciada, a Balancer enfrentou alguma pressão do mercado.Talvez tenham sido essas demissões iniciais que deram aos invasores a oportunidade de encontrar outro caminho.

Desta vez, o front-end do Balancer foi atacado e é difícil não associá-lo ao fracasso da proposta de auditoria do contrato inteligente e à demissão do pessoal do front-end. Talvez a mudança estratégica seja falsa e o ciclo do mercado em baixa seja verdadeiro quando os fundos estão escassos, aumentando as receitas e reduzindo as despesas.

Preocupações ocultas de front-end centralizado

Além de motivos internos da equipe do Balancer, esse ataque também causou preocupações na comunidade sobre o front-end centralizado dos protocolos DeFi.

Na história do desenvolvimento do DeFi, existem raros incidentes de perdas devido a ataques front-end. Em dezembro de 2021, uma série de códigos maliciosos foram injetados no código front-end do site da organização descentralizada Badger DAO. Os invasores podem fazer isso sem o conhecimento do usuário. Se necessário, confirme a transação e transfira os tokens. Em maio de 2022, o DEX ecológico MM.Finance da Cronos sofreu um ataque front-end e hackers usaram vulnerabilidades de DNS para roubar mais de US$ 2 milhões em ativos dos usuários.

A última vez que o front-end descentralizado foi discutido em larga escala foi porque o Tornado Cash foi sancionado e o front-end foi banido. Mas hoje o front-end também está sob pressão de segurança. Algumas pessoas pensam que o ENS pode ser uma solução para ataques front-end, mas a resolução de nomes de domínio do ENS é “centralizada”, por isso não é muito realista usá-lo para resistir a “ataques à descentralização”.

Embora os contratos DeFi não possam ser adulterados ou retirados uma vez implementados, e teoricamente não estarão sujeitos a intervenção humana, a grande maioria dos front-ends ainda são implementados através de arquitecturas tradicionais. Embora as próprias páginas web estejam em constante evolução e desenvolvimento, os nomes de domínio, serviços de rede e servidores Existem muitas ameaças potenciais em serviços de armazenamento, etc. Ao mesmo tempo, os ataques no front-end costumam ser facilmente ignorados pelos desenvolvedores.


Balancer, o DeFi OG, agora também está sob ataque de front-end. Como resultado, há vozes na comunidade pedindo a construção de um front-end descentralizado. No entanto, não existem muitas dessas vozes. Comparado com o calor causado pela proibição do front-end do Uniswap e do Tornado Cash, o que nós, usuários comuns, precisamos fazer para hackear o front-end atualmente ainda precisa ser continuamente explorado por a indústria de criptografia.