Muallif: David, Deep Tide TechFlow
Uyda yomg‘ir yog‘ayotganida tomdan suv o‘tadi, xakerlar esa aynan pasayish paytini tanlaydi.
So‘nggi paytlarda butun kripto bozori sustlashgan bir vaqtda, eski DeFi protokoli yana katta zarba oldi.
3-noyabr kuni on-chain ma’lumotlarga ko‘ra, Balancer protokoli xakerlar hujumiga uchragan bo‘lishi mumkin. Taxminan 70.9 million dollar qiymatidagi aktivlar yangi hamyonga ko‘chirildi, ular orasida 6,850 dona osETH, 6,590 dona WETH va 4,260 dona wstETH bor edi.
Keyinchalik Lookonchain tomonidan tegishli hamyon manzillari monitoringi natijasida, protokolga yetkazilgan umumiy zarar miqdori 116.6 million dollarga yetdi.
Balancer jamoasi hodisadan so‘ng quyidagilarni bildirdi:
“Balancer v2 pool-lariga ta’sir qilishi mumkin bo‘lgan zaiflik aniqlangan, muhandislik va xavfsizlik jamoamiz ushbu hodisani yuqori ustuvorlikda o‘rganmoqda, ko‘proq ma’lumotga ega bo‘lgach, tasdiqlangan yangilanishlar va keyingi choralarni e’lon qilamiz.”
Bundan tashqari, rasmiylar ochiqchasiga o‘g‘irlangan aktivlarning 20% qismini oq shapka mukofoti sifatida qaytarib olish uchun to‘lashga tayyor ekanliklarini, bu taklif 48 soat amal qilishini bildirishdi.
Javob tez berildi, lekin juda rasmiy edi.
Agar siz DeFi sohasida tajribali foydalanuvchi bo‘lsangiz, “Balancer xakerlar tomonidan o‘g‘irlandi” sarlavhasi sizni hayratga solmaydi, aksincha, g‘alati tanishlik hissini uyg‘otadi.
2020-yilda tashkil etilgan eski DeFi protokoli sifatida, Balancer so‘nggi 5 yil ichida 6 marta xavfsizlik hodisasiga duch keldi, deyarli har yili xakerlar tashrifi an’anaviy “dastur”ga aylandi, bu safar esa eng katta o‘g‘irlik sodir bo‘ldi.
Tarixga nazar tashlasak, bozor sharoiti savdoni juda qiyinlashtirgan paytda, DeFi-dagi daromad olish ham xavfsiz emasligi ehtimoli bor.
2020-yil iyun: Deflyatsion token zaifligi, taxminan 520 ming dollar zarar
2020-yil mart oyida Balancer “moslashuvchan avtomatlashtirilgan market-meyker” innovatsion g‘oyasi bilan DeFi olamiga kirdi. Biroq, atigi uch oy o‘tib, bu orzu protokoli birinchi dahshatli hodisani boshdan kechirdi.
Xakerlar protokolning deflyatsion tokenlarni (Deflationary Token) noto‘g‘ri ishlashidan foydalanib, taxminan 520 ming dollar zarar yetkazdi.
Asosiy mexanizm shundan iborat ediki, o‘sha paytda STA nomli token har bir tranzaktsiyada 1% avtomatik yo‘q qilinardi (komissiya sifatida).
Xaker dYdX-dan 104,000 ETH miqdorida flash-loan olib, STA va ETH o‘rtasida 24 marta tranzaktsiya amalga oshirdi. Balancer har bir tranzaktsiyadan keyingi haqiqiy balansni to‘g‘ri hisoblamagani sababli, pooldagi STA deyarli tugab, faqat 1 wei qoldi. So‘ng xaker narxlar muvozanatsizligidan foydalanib, juda oz STA evaziga ko‘p ETH, WBTC, LINK va SNX ni olib chiqib ketdi.
2023-yil mart: Euler hodisasi, taxminan 11.9 million dollar zarar
Bu safar Balancer bilvosita jabrlanuvchi bo‘ldi.
Euler Finance 197 million dollarlik flash-loan hujumiga uchradi, Balancer’ning bb-e-USD pooli esa Euler’ning eToken-larini ushlab turgani sababli zarar ko‘rdi.
Euler hujumga uchraganida, taxminan 11.9 million dollar Balancer’ning bb-e-USD poolidan Euler’ga o‘tkazildi, bu pool TVL’ining 65% ini tashkil etdi. Balancer zudlik bilan tegishli pool-larni to‘xtatgan bo‘lsa-da, zarar allaqachon yetkazilgan edi.
2023-yil avgust: Balancer V2 pool aniqlik zaifligi, taxminan 2.1 million dollar zarar
Bu hujum aslida oldindan bashorat qilingan edi. 22-avgust kuni Balancer o‘zi zaiflikni oshkor qilib, foydalanuvchilarga mablag‘larini olib chiqishni tavsiya qilgan, ammo 5 kundan so‘ng hujum baribir sodir bo‘ldi.
Zaiflik V2 Boosted Pool’dagi yaxlitlash xatosi (rounding error) bilan bog‘liq edi. Xakerlar aniq manipulyatsiya orqali BPT (Balancer Pool Token) ta’minotini hisoblashda xatolik yuzaga keltirib, noto‘g‘ri kursda pooldan aktivlarni chiqarib olishdi. Hujum bir nechta flash-loan tranzaktsiyalari orqali amalga oshirildi, turli xavfsizlik kompaniyalari zarar miqdorini 979 mingdan 2.1 million dollargacha baholadi.
2023-yil sentabr: DNS hijack hujumi, taxminan 240 ming dollar zarar
Bu safar ijtimoiy muhandislik hujumi bo‘lib, nishon aqlli kontraktlar emas, balki an’anaviy internet infratuzilmasi edi.
Xakerlar ijtimoiy muhandislik usullari bilan domen registratori EuroDNS’ni buzib, balancer.fi domenini egallab olishdi. Foydalanuvchilar fishing saytga yo‘naltirildi, bu sayt Angel Drainer zararli kontrakti orqali foydalanuvchilardan ruxsat olishga urindi.
Xakerlar o‘g‘irlangan mablag‘larni Tornado Cash orqali yuvib tashlashdi.
Bu hodisa bevosita Balancer aybi bo‘lmasa-da, protokol brendidan fishing uchun foydalanish himoyani qiyinlashtiradi.
2024-yil iyun: Velocore xakerlar tomonidan o‘g‘irlandi, taxminan 6.8 million dollar zarar
Velocore mustaqil loyiha bo‘lsa-da, uning o‘g‘irlanishi Balancer bilan bevosita bog‘liq emas. Ammo Balancer’ning fork’i sifatida Velocore xuddi shu CPMM (constant product market maker) pool dizaynidan foydalangan, ya’ni mexanizm Balancer’dan olingan.
Bu safar xakerlar Velocore’dagi Balancer uslubidagi CPMM pool kontraktidagi overflow zaifligidan foydalandi, feeMultiplier (komissiya ko‘paytirgichi) ni 100% dan oshirib, hisoblash xatosiga sabab bo‘ldi.
Xakerlar yakunda flash-loan va maxsus ishlab chiqilgan chiqarib olish operatsiyasi orqali taxminan 6.8 million dollar o‘g‘irlashdi.
2025-yil noyabr: Eng so‘nggi hujum, zarar 100 million dollardan oshdi
Bu hujumning texnik mexanizmi allaqachon aniqlangan. Xavfsizlik tadqiqotchilarining tahliliga ko‘ra, zaiflik Balancer V2 protokolidagi manageUserBalance funksiyasining kirish nazorati tekshiruviga bog‘liq, bu esa foydalanuvchi huquqlarini tekshiradi.
Xavfsizlik monitoring agentliklari Defimon Alerts va Decurity tahliliga ko‘ra, tizim Balancer V2 da mablag‘ chiqarish huquqini tekshirayotganda, chaqiruvchini haqiqiy hisob egasi ekanligini tekshirishi kerak edi, lekin kod xato qilib, msg.sender (amaldagi chaqiruvchi) ni foydalanuvchi tomonidan taqdim etilgan op.sender parametri bilan solishtirgan.
Chunki op.sender foydalanuvchi tomonidan boshqariladigan parametr, xakerlar istalgan shaxs sifatida o‘zini ko‘rsatib, huquq tekshiruvini chetlab o‘tib, WITHDRAW_INTERNAL (ichki chiqarib olish) operatsiyasini bajarishi mumkin.
Soddaroq qilib aytganda, bu zaiflik har kimga istalgan hisob egasi sifatida ko‘rinib, ichki balansni to‘g‘ridan-to‘g‘ri chiqarib olish imkonini berdi. Bunday asosiy kirish nazorati xatosi 5 yil ishlagan yetuk protokolda yuzaga kelgani juda ajablanarli.
Xakerlar tashrifi tarixidan so‘nggi mulohazalar
Bu “xakerlar tashrifi tarixi”dan nimani o‘rganishimiz mumkin?
Muallifning fikricha, kripto olamidagi DeFi protokollari “uzoqdan qarash mumkin, lekin yaqinlashib o‘ynash mumkin emas”ga o‘xshaydi: uzoqdan qaraganda jimjit, lekin chuqur o‘rgansangiz, ko‘plab texnik qarzlar borligini ko‘rasiz.
Masalan, Balancer eski DeFi protokoli sifatida, uning innovatsiyalaridan biri – maksimal 8 xil tokenni o‘z ichiga olgan moslashtirilgan pool tuzish imkoniyati.
Uniswap’ning soddaligiga nisbatan, Balancer’ning murakkabligi eksponent tarzda oshadi.
Har bir yangi token qo‘shilganda, poolning holat fazosi keskin kengayadi. 8 xil token narxi, og‘irligi va likvidligini muvozanatlashga harakat qilganingizda, hujum yuzasi ham kengayadi. 2020-yilgi deflyatsion token hujumi va 2023-yilgi yaxlitlash xatosi asosan murakkablikdan kelib chiqqan chekka holatlarni noto‘g‘ri boshqarish natijasidir.
Yana bir muammo shundaki, Balancer tez iteratsiyali rivojlanish yo‘lini tanladi. V1 dan V2 ga, so‘ngra turli Boosted Pool-larga o‘tishda har bir yangilanish eski kodga yangi funksiyalar qo‘shdi. Bu “texnik qarz” to‘planishi kod bazasini mo‘rt minoraga aylantirdi;
Masalan, yaqinda huquq muammosi tufayli yuzaga kelgan hujum – bunday asosiy dizayn xatosi 5 yil ishlagan protokolda bo‘lmasligi kerak edi, bu esa loyihaning kodni saqlash jarayoni nazoratdan chiqqanini ko‘rsatadi.
Balki, hozirgi vaqtda narrativ, foyda va hissiyot texnikadan ustun bo‘lib, asosiy kodda zaiflik bor-yo‘qligi muhim emasdir.
Balancer, albatta, oxirgisi bo‘lmaydi, DeFi’dagi turli kombinatsion imkoniyatlar sababli qora oqqush qachon kelishini hech qachon bilmaysiz. DeFi olamidagi murakkab bog‘liqliklar xavfni baholashni deyarli imkonsiz qiladi.
Hatto siz Balancer kodiga ishonsangiz ham, uning barcha integratsiyalari va hamkorlariga ishonasizmi?
Kuzatuvchilar uchun DeFi – bu g‘aroyib ijtimoiy tajriba; ishtirokchilar uchun esa DeFi-dan o‘g‘irlik – bu qimmatli saboq; butun soha uchun esa, DeFi’ning sog‘lomlashuvi – yetuklik sari to‘lanadigan to‘lovdir.
Faqat bu to‘lov juda qimmat bo‘lmasin.
