خلال 5 سنوات، تعرض بروتوكول DeFi القديم Balancer لـ 6 حوادث خسارة تجاوزت 100 مليون، تاريخ زيارات القراصنة

سلسلة Chainfeeds - ملخص:

بالنسبة للمراقبين، DeFi هو تجربة اجتماعية جديدة؛ أما للمشاركين، فإن التعرض للسرقة في DeFi هو درس مكلف للغاية.

مصدر المقال:

TechFlow

وجهة نظر:

TechFlow: أصدرت Balancer إعلانًا رسميًا بسرعة بعد وقوع الحادث، معترفة باكتشاف هجوم ثغرة قد يؤثر على مجمعات V2، وأشارت إلى أن فريق الهندسة والأمن يحقق في الحادث بأولوية عالية، وستعلن عن نتائج التحقق والإجراءات التالية عند توفر مزيد من المعلومات. في الوقت نفسه، أعلنت الفريق عن استعداده لتقديم مكافأة بيضاء بقيمة 20% من الأصول المسروقة لاسترداد الأموال، مع مهلة 48 ساعة. هذا الرد كان سريعًا لكنه لا يزال رسميًا ولم يهدئ قلق المجتمع. بالنسبة للاعبين القدامى في DeFi، أصبحت حوادث اختراق Balancer خبرًا دوريًا تقريبًا. منذ تأسيسها في 2020، تعرض هذا البروتوكول الذي كان يُعتبر صانع سوق مرن لستة حوادث أمنية خلال خمس سنوات، أي تقريبًا حادثة واحدة سنويًا. في يونيو 2020، خسرت Balancer حوالي 520,000 دولار بسبب ثغرة في معالجة الرمز التضخمي STA، حيث استغل المهاجم خاصية حرق 1% من رسوم التحويل تلقائيًا، واقترض 104,000 ETH من dYdX وأجرى 24 صفقة تداول دورية داخل المجمع حتى استُنفد STA في المجمع ولم يتبق سوى 1 wei، ثم استبدلها بسعر غير متوازن للغاية مقابل ETH وWBTC وLINK وSNX. كانت هذه الحادثة أول انتكاسة كبيرة لـ Balancer وكشفت عن هشاشة البروتوكول في تصميم التوافق مع الرموز المعقدة. على مدى السنوات التالية، تعرضت Balancer لحوادث أمنية متكررة. في مارس 2023، تأثرت بسبب هجوم على Euler Finance وخسرت حوالي 11.9 مليون دولار. في ذلك الوقت، تعرضت Euler لهجوم قرض سريع بقيمة 197 مليون دولار، وكان مجمع bb-e-USD الخاص بـ Balancer يحتفظ برموز Euler eToken، وتم تحويل الأموال المتأثرة إلى Euler، وهو ما يمثل 65% من TVL لهذا المجمع. رغم أن الفريق جمد المجمع بشكل عاجل، إلا أن الخسائر لم يكن بالإمكان استردادها. في أغسطس من نفس العام، تعرض مجمع V2 لهجوم ثغرة "خطأ التقريب"، حيث استغل المهاجم انحراف الدقة في Boosted Pool، مما أدى إلى حساب غير طبيعي في كمية BPT وسحب الأصول بسعر غير عادل. رغم أن Balancer أصدرت تحذيرًا في 22 أغسطس وطلبت من المستخدمين سحب أموالهم، إلا أن المهاجم نجح في تنفيذ الهجوم بعد خمسة أيام، وخسر المجمع حوالي 2.1 مليون دولار. في سبتمبر، وقع حادث اختطاف DNS، حيث اخترق المهاجم مسجل EuroDNS عبر الهندسة الاجتماعية، واختطف نطاق balancer.fi ووجه المستخدمين إلى موقع تصيد احتيالي، واستخدم عقد Angel Drainer الخبيث لخداع المستخدمين لمنح التفويضات وتحويل الأموال. رغم أن هذه الحادثة لم تكن بسبب ثغرة في العقد الذكي، إلا أنها أظهرت هشاشة بروتوكولات Web3 في طبقات أمان الإنترنت التقليدية. في يونيو 2024، تعرض مشروع Velocore المتفرع من Balancer للاختراق وخسر 6.8 مليون دولار، وكان مصدر الهجوم ثغرة تجاوز السعة في تصميم مجمع CPMM، مما أبرز المخاطر النظامية في بنية Balancer. أما هجوم نوفمبر 2025، فكان الأكثر خطورة حتى الآن. أشارت شركات الأمن Decurity وDefimon Alerts إلى أن الثغرة كانت بسبب خطأ في منطق التحكم في الوصول لدالة manageUserBalance في بروتوكول V2. في الظروف الطبيعية، يجب على النظام التحقق مما إذا كان المتصل هو مالك الحساب، لكن الكود تحقق بشكل خاطئ مما إذا كان msg.sender يساوي معلمة op.sender التي يحددها المستخدم. وبما أن op.sender يمكن للمستخدم إدخاله بحرية، تمكن المهاجم من انتحال الهوية وتجاوز التحقق من الصلاحيات وتنفيذ عملية WITHDRAW_INTERNAL وسحب أصول أي حساب مباشرة من الخزينة. بمعنى آخر، يمكن لأي شخص انتحال شخصية مالك أي حساب وسحب الأموال. إن ظهور خطأ أساسي في التحكم في الوصول في بروتوكول ناضج يعمل منذ خمس سنوات أمر صادم. بالنظر إلى التاريخ، يتضح أن تعقيد Balancer والتحديثات السريعة أدت إلى طمس حدود الأمان باستمرار — فتصميم المجمعات ذات الأوزان المخصصة التي تسمح بحد أقصى ثمانية رموز زاد من المرونة، لكنه ضاعف من مساحة الهجوم بشكل كبير. ومع تراكم الوظائف والديون التقنية، أصبح هيكل كود Balancer أشبه ببرج هش من المكعبات. الثغرة الأخيرة كشفت ليس فقط عن خطأ في العقد، بل عن مصدر قلق لمسار تطوير DeFi: في ظل الحماس السردي ورأس المال، يبدو أن متانة الكود أصبحت اعتبارًا ثانويًا.