За атакою Balancer: окрім звільнень у команді безпеки, ми також повинні звернути увагу на приховані турботи централізованого інтерфейсу

 Автор: Luccy、Kaori、BlockBeats

Редактор: Джек, BlockBeats

20 вересня Balancer зазнав збитків у розмірі 238 000 доларів США під час нової серії атак. Аналіз SlowMist Intelligence вважає, що це атака BGP Hijacking. Відвідування веб-сайту для пов’язування гаманця призведе до фішингових атак. Згодом SlowMist MistTrack заявив, що гонорар зловмиснику Balancer надійшов від фішингової групи Angel Drainer. Наразі Balancer каже, що безпеку інтерфейсу відновлено, і він знову знаходиться під контролем Balancer DAO.

BGPHijacking, також відомий як BGP route hijacking, є методом зовнішньої атаки. Під час атаки BGP Hijacking зловмисник надсилає помилкову інформацію про оновлення маршрутизації BGP, щоб змусити інші маршрутизатори спрямувати трафік у неправильному напрямку, тим самим підслуховуючи, підробляючи або перериваючи трафік. Простіше кажучи, веб-сайт міг розсилати спам-лист із схваленням транзакцій, дозволяючи зловмисному контракту відволікати всі кошти користувача.

Це також найбільша відмінність від попередніх атак – атака була спрямована на інтерфейс Balancer.

OpCo, Orb Collective і вартість зміни стратегій зростання

Варто зазначити, що перед цією атакою у Balancer була ще одна важлива новина: 14 квітня постачальник послуг Balancer, Balancer OpCo, оголосив, що звільнив двох інженерів і скоротив свій операційний бюджет.

Balancer OpCo є дочірньою компанією, що повністю належить Balancer Foundation, і надає Balancer постачальників послуг з управління та операцій, а також інтерфейсні розробки та робочі процеси проектування. З серпня минулого року по червень цього року 7 пропозицій за участю Balancer OpCo в Balancer DAO показали, що схвалено 5. Окрім фінансування команди, OpCo було перераховано додаткові 250 000 BAL, щоб OpCo могла працювати над приватними продажами жетонів. Наразі також на стадії попереднього обговорення пропозиції щодо фінансування роботи платформи в наступному році.

Однак, оскільки угода перемістила акцент на вдосконалення інтерфейсу користувача та маркетингу, штат Balancer OpCo скоротився. З цією метою Balancer створить спеціальну маркетингову команду Orb Collective, відповідальну за обговорення механізмів того, як Balancer може працювати з користувачами платформи для сприяння розвитку протоколу Balancer через партнерство, маркетинг, інтеграцію, дизайн і роботу з персоналом для розширення протокол Balancer, глобальна швидкість впровадження. У серпні минулого року Orb Collective був офіційно запущений, і команда заявила, що нова стратегія просування також використовуватиме «зашифровані рідні звуки Twitter».

Варто зазначити, що в квітні цього року Balancer Governance оновила фінансовий план Orb Collective, запропонувавши продовжити контракт Certora на аудит смарт-контрактів, починаючи з другого кварталу 2023 року, з метою виділення його з бюджету Orb Collective OpCo. збереження коштів користувачів Балансувальника. Однак майже 80% членів спільноти Balancer DAO відхилили пропозицію Balancer OpCo Limited провести аудит смарт-контрактів. Це була єдина пропозиція з семи пропозицій, яка була відхилена.


У тому ж місяці Coindesk опублікував статтю під назвою «DeFi Protocol Balancer скорочує бюджет і кількість співробітників у міру зміни стратегії», заявивши, що Balancer внесе стратегічні корективи. Згідно зі статтею, команда Balancer OpCo виявила під час телефонної розмови Discord, в якій взяли участь понад 20 осіб у квітні цього року, що компанія звільнила двох інженерів і скоротила свій операційний бюджет.

«У нас є нове бачення бренду Balancer, яке ми дуже раді, — сказав Джеремі Мусігі, генеральний директор Orb Collective. — Одночасно ми вносимо деякі зміни в нашу маркетингову команду, щоб забезпечити роботу правильних людей. . Щоб реалізувати це нове бачення". У третьому кварталі 2022 року команда Orb подала заявку на операційний бюджет у розмірі 76 000 доларів США, сподіваючись розширити голос Balancer у соціальних платформах, подкастах, підтримці зв’язків із спільнотою тощо. У четвертому кварталі в бюджетному запиті було вказано, що через ведмежий ринковий цикл операційний бюджет команди Orb становив лише 48 000 доларів США, скорочення майже на 50%.

У той же час команда заявила, що це має на меті реформувати стратегію бренду, і в майбутньому вона зосередиться на вдосконаленні користувальницького інтерфейсу та маркетингу. Коли ця новина була оголошена, Balancer зіткнувся з певним тиском ринку. Можливо, саме ці звільнення на передньому плані дали зловмисникам можливість знайти інший спосіб.

Цього разу фронтенд Balancer піддався атаці, і важко не пов’язати це з провалом пропозиції щодо аудиту смарт-контрактів і звільненням фронтенд-персоналу. Можливо, стратегічна зміна є помилковою, а ведмежий ринковий цикл є вірним, коли фінансування обмежене, збільшуючи дохід і зменшуючи витрати.

Приховані проблеми централізованого інтерфейсу

Окрім внутрішніх причин у команді Balancer, ця атака також викликала занепокоєння спільноти щодо централізованого інтерфейсу протоколів DeFi.

В історії розвитку DeFi є рідкісні випадки збитків через зовнішні атаки. У грудні 2021 року серію шкідливих кодів було впроваджено у зовнішній код веб-сайту децентралізованої організації Badger DAO. Зловмисники можуть зробити це без відома користувача За потреби підтвердіть транзакцію та передайте токени. У травні 2022 року екологічний DEX MM.Finance Cronos зазнав фронт-енд атаки, і хакери використали вразливості DNS, щоб викрасти у користувачів активи на суму понад 2 мільйони доларів.

Востаннє децентралізований інтерфейс широко обговорювався через санкції проти Tornado Cash і заборону інтерфейсу. Але сьогодні передня частина також знаходиться під тиском безпеки. Деякі люди вважають, що ENS може бути рішенням для зовнішніх атак, але розпізнавання доменних імен ENS «централізоване», тому не дуже реально використовувати його для протидії «атакам на децентралізацію».

Незважаючи на те, що контракти DeFi неможливо підробити або відкликати після розгортання, і теоретично вони не будуть підлягати втручанню людини, переважна більшість інтерфейсів все ще реалізовано через традиційні архітектури. Хоча самі веб-сторінки постійно розвиваються та розвиваються, доменні імена, мережеві служби та сервери Є багато потенційних загроз у службах зберігання даних тощо. У той же час розробники часто легко ігнорують атаки на інтерфейс.


Balancer, DeFi OG, зараз також піддається фронт-енд-атаці. У результаті в спільноті є голоси, які закликають до створення децентралізованого фронт-енду. Однак таких голосів не надто багато. Порівняно з жахом, спричиненим забороною інтерфейсу Uniswap і Tornado Cash, те, що нам, звичайним користувачам, потрібно зробити, щоб зламати інтерфейс, наразі все ще потребує постійного вивчення. галузь шифрування.