Balancer 1.2 milliarddan ortiq mablag‘ o‘g‘irlandi, siz nima qilishingiz kerak?

Hozirda umumiy o‘g‘irlangan mablag‘ miqdori 128.64 million AQSH dollariga yetdi, hujum davom etmoqda.

Muallif: 1912212.eth, Foresight News

3-noyabr kuni tushdan keyin, eski DeFi protokoli Balancer katta xavfsizlik zaifligi tufayli hujumga uchradi. Hujumchi protokolning asosiy aqlli shartnomasini manipulyatsiya qilish orqali bir necha soat ichida bir nechta likvidlik havzalaridan 1.1 milliard AQSH dollaridan ortiq kripto-aktivlarni Balancer g‘aznasidan o‘z nazoratidagi hamyonga o‘tkazishga muvaffaq bo‘ldi. Hujum natijasida BAL narxi 0.9 dollar atrofida tushib ketdi va 24 soat ichida 8.64% ga pasaydi.

debank ma’lumotlariga ko‘ra, o‘g‘irlangan mablag‘lar quyidagilardan iborat: Ethereum ekotizimidan 99.85 million dollar, Arbitrum tarmog‘idan 7.95 million dollar, Base ekotizimidan 3.94 million dollar, Sonic’dan 3.4 million dollar va OP tarmog‘idan 1.56 million dollar.

Soat 17:41 (UTC+8) holatiga ko‘ra, SlowMist tomonidan o‘tkazilgan tergov natijasida umumiy o‘g‘irlangan mablag‘ miqdori 128.64 million AQSH dollariga yetgani, shundan 12.86 million dollar Berachain’dan o‘g‘irlangani aniqlandi.

Berachain rasmiylari HONEY chiqarish va BEX havzasi/g‘azna funksiyalarini to‘xtatganini bildirdi. Ularning validator tugunlari Berachain tarmog‘ini to‘xtatishni muvofiqlashtirdi, bu esa asosiy jamoaga favqulodda hard fork o‘tkazish va BEX’dagi Balancer V2 bilan bog‘liq zaifliklarni bartaraf etish imkonini berdi.

Shuncha katta o‘g‘irlik natijasida 3 yil davomida faol bo‘lmagan kit 0x0090 tezda harakatga o‘tib, Balancer’dan mablag‘larni yechib oldi.

Bu hodisa nafaqat Balancer V2 arxitekturasidagi kirish nazorati kamchiliklarini fosh etdi, balki Ethereum asosiy tarmog‘i, Base, Polygon va Sonic kabi bir nechta blokcheyn tarmoqlariga ham ta’sir ko‘rsatib, umumiy yo‘qotishlarni tezda oshirdi.

Hozirda hujum davom etmoqda.

Balancer 2020-yilda Balancer Labs tomonidan tashkil etilgan bo‘lib, avtomatlashtirilgan market-meyker (AMM) protokoli hisoblanadi va foydalanuvchilarga moslashtirilgan likvidlik havzalarini yaratish, bir nechta aktivlarning og‘irligini sozlash imkonini beradi. Uniswap kabi oddiy AMM’lardan farqli o‘laroq, Balancer dizayni ko‘proq moslashuvchanlik va kapital samaradorligiga urg‘u beradi, ayniqsa V2 versiyasida “Boosted Pools” va g‘azna (Vault) tizimi joriy etilgan bo‘lib, bu funksiyalar daromadni optimallashtirish va slippage’ni kamaytirishga qaratilgan. DeFi bozorining avvalgi to‘lqinida Balancer’ning TVL ko‘rsatkichi 3.239 milliard AQSH dollariga yetgan edi.

Hozirda protokolning TVL ko‘rsatkichi atigi 678.44 million AQSH dollarini tashkil etmoqda.

Tahlillar shuni ko‘rsatadiki, bu safargi hujum g‘azna shartnomasidagi kirish nazorati nosozligidan kelib chiqqan: hujumchi flash loan mexanizmidan foydalanib, ruxsatlarni soxtalashtirib, Boosted Pool’dan aktivlarni yechib olgan. Aniq qilib aytganda, hujumchi rate provider’ni manipulyatsiya qilib, avtorizatsiya tekshiruvini chetlab o‘tgan va g‘aznadan to‘g‘ridan-to‘g‘ri tashqi manzilga (0xAa760D53541d8390074c61DEFeaba314675b8e3f) mablag‘larni o‘tkazgan. On-chain tranzaksiya xeshi (0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569) bir necha daqiqa ichida bir nechta transfer amalga oshirilganini ko‘rsatadi, jumladan WETH, osETH, wstETH, frxETH, rsETH va rETH kabi ETH derivativlari ishtirok etgan. Bu usul o‘tgan DeFi hujumlariga, masalan, 2022-yilgi Nomad Bridge’dagi kirish nazorati zaifligiga o‘xshaydi, biroq Balancer’ning ko‘p zanjirli joylashuvi xavfni oshirib, cross-chain yo‘qotishlarga olib keldi.

Bu hujumning ildizlari Balancer’ning tarixiy xavfsizlik muammolariga borib taqaladi. Protokol birinchi marta xavfga uchragani yo‘q:

• 2021-yil iyun oyida Balancer aqlli shartnoma zaifligi tufayli 500 ming dollar yo‘qotgan;
• 2023-yil avgust oyida esa DNS hijack hujumi natijasida 270 ming dollar mablag‘ chiqib ketgan.

So‘nggi kichik miqyosdagi zaiflik 2025-yil oktyabr oyida yuz bergan bo‘lib, rate provider’larni manipulyatsiya qilish bilan bog‘liq edi.

Bu hodisalar protokolning kirish nazorati va tashqi bog‘liqliklaridagi zaifliklarni ko‘rsatadi. V2 versiyasi 2021-yildan beri deyarli 5 yil ishlamoqda, bir necha bor audit, fuzz testing va formal verification’dan o‘tgan, biroq zaifliklar to‘liq bartaraf etilmagan.

Flashbots strategik direktori, Lido strategik maslahatchisi Hasu shunday deb yozdi: “Balancer v2 2021-yilda ishga tushirilgan va shundan beri eng ko‘p e’tibor qaratilgan va tez-tez fork qilinadigan aqlli shartnomalardan biriga aylandi. Bu juda tashvishli. Har safar uzoq vaqt ishlagan shartnoma hujumga uchraganida, bu DeFi’ning ommalashuv jarayonini 6-12 oy orqaga suradi.”

Hozirda Balancer jamoasi bayonot chiqarib, V2 havzalarida zaiflik bo‘lishi mumkinligini, muhandislar va xavfsizlik jamoasi hodisani o‘rganayotganini ma’lum qildi.

Foresight News foydalanuvchilarga mablag‘larni zudlik bilan yechib olish, ruxsatlarni bekor qilish (masalan, Revoke.cash orqali) va har qanday fishing havolalardan ehtiyot bo‘lishni tavsiya qiladi.