Eski DeFi protokolü Balancer'ın hacker saldırıları ile tarihi: 5 yılda 6 güvenlik olayı yaşandı, toplam kayıp 100 milyon doları aştı.

Deneyimli DeFi protokolü Balancer, son 5 yılda 6 büyük güvenlik olayına maruz kaldı ve en son saldırı $100 milyondan fazla kaybetti ve DeFi'nin karmaşıklığının arkasındaki teknik riskleri ortaya çıkardı. (Özet: Balancer $116 milyonu hackledi" resmi yanıtı araştırıldı, Lido danışmanı: DeFi'nin benimsenmesinin 1 yıl geriye gitmesine yol açacak) (Arka plan eklendi: Eski DeFi protokolü Balancer hacklendi!) Hasar 116 milyon doları aştı, ancak saldırı devam ediyor) İzleyiciler için DeFi yeni bir sosyal deneydir; Katılımcılar için DeFi hırsızlığı pahalı bir derstir. Ev sızıntısı, gece boyunca yağan yağmurla aynı zamana denk geldi ve bilgisayar korsanı özellikle düşüşü seçti. Tüm kripto pazarındaki son gerilemede, eski DeFi protokolü sert bir darbe aldı. 3 Kasım'da zincir üstü veriler, Balancer protokolünün saldırıya uğradığından şüphelenildiğini gösterdi. 6.850 osETH, 6.590 WETH ve 4.260 wstETH dahil olmak üzere yaklaşık 70,9 milyon dolarlık varlık yeni cüzdana aktarıldı. Daha sonra, söz konusu cüzdan adreslerinin Lookonchain tarafından izlenmesine göre, protokole yapılan saldırının toplam hasar miktarı 116,6 milyon dolara yükseldi. Balancer ekibi olaydan sonra şunları söyledi: “Balancer v2 havuzunu etkileyebilecek bir güvenlik açığı saldırısı tespit edildi ve mühendislik ve güvenlik ekipleri bu olayı yüksek öncelikli olarak araştırıyor ve daha fazla bilgi mevcut olduğunda doğrulanmış güncellemeleri ve sonraki adımları paylaşacak.” Buna ek olarak, yetkililer, 48 saat boyunca geçerli olan varlıkları kurtarmak için çalınan varlıkların %20'sini beyaz şapka ödülü olarak ödemeye istekli olduklarını da kamuoyuna açıkladılar. Yanıt hızlı ama aynı zamanda resmiydi. Bununla birlikte, bir DeFi gazisiyseniz, “Balancer hacklendi” başlığına şaşırmayacaksınız, ancak garip bir déjà vu duygusu var. 2020'de kurulan deneyimli bir DeFi protokolü olan Balancer, son 5 yılda 6 güvenlik olayı yaşadı ve her yıl bilgisayar korsanları tarafından himaye edilen ortalama bir ayrılmış gösteri var ve bu sefer yalnızca çalınan en büyük para miktarı. Geçmişe baktığımızda, piyasa durumu ticaretin cehenneme dönmesini zorlaştırdığında, DeFi'de faiz arbitrajı olması çok muhtemeldir ve güvenli değildir. Haziran 2020: Deflasyonist token güvenlik açığı, yaklaşık 520.000 dolar kayıp Mart 2020'de Balancer, yenilikçi bir “esnek otomatik piyasa yapıcı” fikriyle DeFi dünyasına girdi. Ancak sadece üç ay sonra, iddialı anlaşma ilk kabusunu yaşadı. Saldırganlar, protokolün deflasyonist tokenleri yanlış kullanmasından yararlanarak yaklaşık 520.000 dolarlık zarara neden oldu. Genel prensip, o sırada STA adı verilen bir tokenin her transfer için ücret olarak otomatik olarak %1 yakmasıdır. Saldırganlar, bir dYdX flaş kredisinden 104.000 ETH ödünç verdi ve ardından STA ile ETH arasında 24 kez ileri geri işlem yaptı. Balancer, her transferden sonra gerçek bakiyeyi doğru bir şekilde hesaplamadığından, havuzdaki STA sonunda sadece 1 wei'ye düştü. Saldırganlar daha sonra ciddi fiyat dengesizliğinden yararlandı ve büyük miktarda ETH, WBTC, LINK ve SNX'i eser miktarda STA ile değiştirdi. Mart 2023: Euler olayı yalan söyledi, yaklaşık 11,9 milyon dolar kayıp Bu sefer Balancer dolaylı bir kurbandı. Euler Finance, 197 milyon dolarlık bir flaş kredi saldırısına maruz kaldı ve Balancer'ın bb-e-USD havuzu, Euler'in eToken'ını elinde tutmakla suçlandı. Euler saldırıya uğradığında, Balancer'ın bb-e-USD havuzundan Euler'e yaklaşık 11,9 milyon dolar veya havuzun TVL'sinin %65'i aktarıldı. Balancer söz konusu havuzu acilen askıya almış olsa da, hasar onarılamaz bir şekilde meydana geldi. Ağustos 2023: Balancer V2 Pool Precision Güvenlik Açığı, Yaklaşık 2,1 Milyon Dolar Kayıp Bu saldırı aslında önceden haber verilmişti. O yılın 22 Ağustos'unda Balancer, güvenlik açığını gönüllü olarak açıkladı ve kullanıcıları elden çıkarmaları konusunda uyardı, ancak saldırı yine de 5 gün sonra gerçekleşti. Güvenlik açığı, V2 Artırılmış Havuzu'ndaki bir yuvarlama hatasını içerir. Saldırgan, hassas manipülasyon yoluyla, havuzdaki varlıkları uygun olmayan bir döviz kurundan çekmek için BPT'nin (Balancer Pool Token) arz hesaplamasını saptırır. Saldırı, farklı güvenlik firmaları tarafından 979.000 ila 2,1 milyon dolar arasında değişen kayıp tahminleriyle çok sayıda flaş kredi işlemiyle tamamlandı. Eylül 2023: Yaklaşık 240.000 dolar zararla DNS ele geçirme saldırısı Bu, akıllı sözleşmeleri değil, geleneksel ağ altyapısını hedef alan bir sosyal mühendislik saldırısıdır. Bilgisayar korsanları, alan adı kayıt şirketi EuroDNS'yi ihlal etmek ve balancer.fi alan adlarını ele geçirmek için sosyal mühendisliği kullandı. Kullanıcılar, kullanıcıları transferleri yetkilendirmeleri için kandırmak için Angel Drainer kötü amaçlı sözleşmesi kullanan bir kimlik avı web sitesine yönlendirilir. Saldırganlar daha sonra çalınan parayı Tornado Cash aracılığıyla akladı. Bu konunun kendisi Balancer'ın potu olmasa da, insanların protokolün markasını balık tutmak için kullanmalarını engellemek de zordur. Haziran 2024: Velocore hacklendi, yaklaşık 6,8 milyon dolar kaybetti Velocore bağımsız bir proje olmasına rağmen, hırsızlığının Balancer ile hiçbir ilgisi yok. Ancak Balancer'ın bir çatalı olarak Velocore, biraz aynı damarda, daha çok başka bir yerde çalmaya benzeyen aynı CPMM (Sabit Ürün Piyasa Yapıcı) havuz tasarımını kullanır, ancak mekanizma Balancer'dadır. Bu sefer, muhtemelen, saldırgan, ücret çarpanını (feeMultiplier) %100'ü aşacak şekilde manipüle etmek için Velocore'un Balancer tarzı CPMM havuz sözleşmesindeki bir taşma güvenlik açığından yararlanarak hesaplama hatalarına neden oldu. Saldırganlar sonunda ayrıntılı para çekme işlemleriyle birlikte flaş krediler yoluyla yaklaşık 6,8 milyon dolar çaldı. Kasım 2025: Son saldırı, 100 milyondan fazla kayıp Bu saldırının teknik prensibi ön olarak açıklığa kavuşturuldu. Güvenlik araştırmacılarının analizine göre, güvenlik açığı, kullanıcı izinlerinin kontrolüne de karşılık gelen Balancer V2 protokolündeki manageUserBalance fonksiyonunun erişim kontrol kontrolünde yer alıyor. Güvenlik gözlemcileri Defimon Alerts ve Decurity tarafından yapılan analize göre, sistemin Balancer V2'nin para çekme izinlerini doğrularken arayanın hesabın gerçek sahibi olup olmadığını kontrol etmesi gerekiyordu, ancak kod yanlış bir şekilde msg.sender'ın (gerçek arayan) kullanıcının kendisi tarafından sağlanan op.sender parametresine eşit olup olmadığını kontrol etti. op.sender kullanıcı tarafından kontrol edilebilen bir giriş parametresi olduğundan, saldırganlar istedikleri zaman kimlikleri taklit edebilir, izin doğrulamasını atlayabilir ve WITHDRAWAL_INTERNAL (dahili para çekme…