Da Balancer a Berachain, quando la blockchain viene messa in pausa

Una falla mette a nudo il conflitto tra sicurezza DeFi e decentralizzazione

Scritto da: ChandlerZ, Foresight News

Il mondo DeFi è di nuovo nell'occhio del ciclone.

Molti progetti basati sull’architettura Balancer V2 sono stati colpiti il 3 novembre da un attacco meticolosamente pianificato, con perdite totali superiori a 120 milioni di dollari. L’incidente ha coinvolto non solo la mainnet di Ethereum, ma si è esteso anche a Arbitrum, Sonic, Berachain e altre chain, diventando, dopo gli eventi di Euler Finance e Curve Finance, un altro grave incidente di sicurezza che scuote l’intero settore.

Secondo l’analisi preliminare di BlockSec, si tratta di un “attacco di manipolazione dei prezzi ad alta complessità”, il cui nucleo consiste nel fatto che l’attaccante distorce la logica di calcolo del prezzo dei BPT (Balancer Pool Token), sfruttando errori di arrotondamento nell’invariante, creando così una distorsione dei prezzi e realizzando arbitraggio ripetuto in una singola operazione batch.

Prendendo come esempio una transazione d’attacco su Arbitrum, l’attacco si divide in tre fasi:

• L’attaccante prima scambia BPT per asset di base, regolando con precisione il saldo di cbETH fino al limite di arrotondamento (circa 9 unità), creando così le condizioni per una perdita di precisione successiva;

• Successivamente, con una quantità specifica (=8), effettua uno swap tra un altro asset di base, wstETH e cbETH; a causa dell’arrotondamento verso il basso durante la scalatura, il valore calcolato di Δx diminuisce leggermente, portando a una sottostima di Δy, che fa diminuire l’invariante D della pool stabile e quindi abbassa il prezzo teorico dei BPT;

• Infine, l’attaccante scambia nuovamente gli asset di base in BPT, traendo profitto dall’arbitraggio sul prezzo abbassato.

In breve, si tratta di un attacco di precisione costruito sui limiti della matematica e del codice.

Balancer ha confermato ufficialmente che le V2 Composable Stable Pools sono state colpite da una vulnerabilità. Attualmente il team sta collaborando con i migliori ricercatori di sicurezza per indagare e ha promesso di condividere al più presto un rapporto completo post-mortem; tutte le pool interessate che potevano essere sospese sono state congelate d’urgenza e sono entrate in modalità di recupero. L’impatto della vulnerabilità è limitato alle V2 Composable Stable Pools e non riguarda Balancer V3 o altri tipi di pool.

Dopo l’esplosione della vulnerabilità di Balancer V2, i progetti fork di Balancer hanno subito forti scossoni. Secondo i dati di DeFiLlama, al 4 novembre, il valore totale bloccato nei progetti correlati era di circa 49.34 milioni di dollari, con un calo giornaliero del 22,88%. Tra questi, BEX, il DEX nativo di Berachain, ha visto il TVL scendere del 26,4% a 40.27 milioni di dollari, rappresentando ancora l’81,6% dell’ecosistema, ma a causa dell’interruzione on-chain e del congelamento della liquidità, la fuga di capitali continua. Un’altra vittima, Beets DEX, ha registrato un crollo del TVL del 75,85% in 24 ore, con una perdita cumulativa di quasi il 79% negli ultimi 7 giorni.

Oltre ai protocolli sopra citati, anche altri DEX basati sull’architettura Balancer hanno visto un panico di ritiro dei fondi. PHUX è sceso del 26,8% in un giorno, Jellyverse del 15,5%, mentre Gaming DEX è crollato dell’89,3%, con la liquidità quasi azzerata. Anche progetti medio-piccoli non direttamente colpiti, come KLEX Finance, Value Liquid, Sobal, hanno registrato generalmente deflussi tra il 5% e il 20%.

Inizia la reazione a catena, Berachain effettua un hard fork d’emergenza

Questa vulnerabilità originata da Balancer V2 ha rapidamente innescato una reazione a catena ancora più ampia.

La nuova blockchain pubblica Berachain, costruita su Cosmos SDK, è stata anch’essa attaccata nel giro di poche ore, poiché BEX utilizzava la stessa architettura di contratto di Balancer V2. La fondazione, dopo aver rilevato l’anomalia, ha annunciato rapidamente la “sospensione totale della chain”.

Si apprende che pool di liquidità come USDe Tripool di BEX sono state minacciate, con fondi a rischio per circa 12 milioni di dollari. Gli attaccanti hanno sfruttato la stessa vulnerabilità logica di Balancer, sottraendo fondi tramite molteplici interazioni con smart contract. Poiché parte degli asset erano token non nativi, il team ha dovuto ricorrere a un hard fork per ripristinare e tracciare alcune transazioni.

Allo stesso tempo, diversi protocolli dell’ecosistema Berachain, tra cui Ethena, Relay, HONEY, hanno adottato misure difensive:

• Vietato il trasferimento cross-chain di USDe;
• Sospensione dei depositi nei mercati di lending;
• Interruzione della mint e del riscatto di HONEY;
• Notifica agli exchange centralizzati di blacklistare gli indirizzi sospetti.

La fondazione Berachain ha dichiarato che la sospensione della rete era pianificata e che la rete tornerà presto a funzionare normalmente. La vulnerabilità di Balancer ha colpito principalmente le tre pool Ethena/Honey, tramite transazioni di smart contract relativamente complesse. Poiché la vulnerabilità ha interessato asset non nativi (non solo BERA), il processo di rollback/rollforward non è un semplice hard fork, quindi la rete rimarrà sospesa fino alla definizione di una soluzione completa.

Il 4 novembre, la fondazione Berachain ha comunicato che il file binario per l’hard fork è stato distribuito e alcuni validatori hanno già effettuato l’upgrade. Prima di riavviare la produzione di blocchi, si vuole garantire che le infrastrutture core necessarie (come gli oracle di liquidazione) abbiano aggiornato i loro RPC, in quanto rappresentano il principale ostacolo alla ripresa della chain. Dopo aver completato le richieste RPC dei servizi core, il team coordinerà la ripresa dei servizi con bridge cross-chain, CEX, custodi, ecc.

Nel frattempo, un operatore di MEV bot di Berachain ha contattato la fondazione dopo la sospensione della chain, dichiarandosi “white hat” e inviando un messaggio on-chain. Ha espresso la volontà di firmare in anticipo una serie di transazioni per restituire i fondi una volta che la blockchain sarà di nuovo online.

Sicurezza o decentralizzazione?

“Sappiamo che è controverso, ma quando circa 12 milioni di dollari di asset degli utenti sono a rischio, proteggere gli utenti è l’unica scelta.” Così Smokey The Bera, cofondatore di Berachain, ha risposto alle critiche della community sulla questione della “centralizzazione”.

Ha ammesso nella dichiarazione che Berachain non ha ancora raggiunto il livello di decentralizzazione di Ethereum, e che il meccanismo di coordinamento tra i validatori somiglia più a un “comando di crisi” che a una rete di consenso automatizzata. Di fatto, i nodi on-chain si sono fermati in meno di un’ora dalla scoperta della vulnerabilità, mostrando l’efficienza delle decisioni centralizzate ma anche il grado di centralizzazione della governance.

La reazione della community si è subito spaccata.

I sostenitori ritengono che questa scelta dimostri la responsabilità del team verso la sicurezza degli utenti, definendola una “decentralizzazione realista”; i contrari accusano invece che ciò viola il principio del “Code is Law”, tradendo l’irreversibilità on-chain.

Il detective on-chain ZachXBT ha commentato: “Quando i fondi degli utenti sono in grave pericolo, è una decisione difficile ma giusta.”

Ma alcuni sviluppatori più radicali sono stati diretti: “Se una blockchain può essere messa in pausa manualmente in qualsiasi momento, in cosa differisce dal sistema finanziario tradizionale?”

L’ombra dell’evento DAO si ripresenta

Questa vicenda ha ricordato a molti addetti ai lavori l’attacco al DAO di Ethereum del 2016. All’epoca, per recuperare i 50 milioni di dollari rubati, Ethereum decise di effettuare un hard fork per annullare le transazioni, portando alla divisione della community tra Ethereum (ETH) ed Ethereum Classic (ETC).

Nove anni dopo, una scelta simile si ripresenta.

La differenza è che questa volta il protagonista è una blockchain pubblica ancora agli inizi, senza un livello sufficiente di decentralizzazione né il supporto di un consenso globale.

L’intervento umano di Berachain ha evitato perdite più gravi, ma ha riacceso il dibattito filosofico su “la blockchain può davvero essere autonoma?”.

In un certo senso, questo è anche uno specchio dell’ecosistema DeFi: sicurezza, efficienza, decentralizzazione — l’equilibrio tra questi tre elementi non è mai stato davvero raggiunto.

Quando un hacker può distruggere decine di milioni di dollari in pochi secondi, “l’ideale” spesso deve cedere il passo alla “realtà”.

Balancer ha dichiarato che il team sta collaborando con i migliori ricercatori di sicurezza, prevede di pubblicare un rapporto completo post-mortem e avverte gli utenti di fare attenzione ai messaggi di truffa da parte di falsi team di sicurezza.

Berachain prevede invece di ripristinare gradualmente la produzione di blocchi e le funzionalità di trading dopo il completamento dell’hard fork.

Tuttavia, il ripristino della fiducia è più difficile della riparazione di una vulnerabilità. Per una nuova blockchain pubblica, sospendere la chain è una soluzione di emergenza a breve termine, ma può lasciare cicatrici a lungo termine nella community. Gli utenti metteranno in dubbio la reale decentralizzazione, gli sviluppatori temeranno per la garanzia dell’immutabilità.

Il mondo DeFi forse sta ridefinendo la decentralizzazione: non un laissez-faire assoluto, ma un consenso sul compromesso minimo da trovare in tempi di crisi.