Balancer-dan Berachain-gacha, zanjir pauza tugmasi bosilganda

Bir zaiflik DeFi xavfsizligi va markazsizlanish ziddiyatini ochib berdi

Muallif: ChandlerZ, Foresight News

DeFi dunyosi yana bir bor bo‘ron markaziga tushdi.

2023-yil 3-noyabr kuni Balancer V2 arxitekturasiga asoslangan bir nechta loyihalar puxta rejalashtirilgan hujumga uchradi va jami yo‘qotish 120 million dollardan oshdi. Bu hodisa nafaqat Ethereum asosiy tarmog‘iga, balki Arbitrum, Sonic, Berachain kabi boshqa tarmoqlarga ham ta’sir ko‘rsatdi va Euler Finance hamda Curve Finance voqealaridan keyin butun sohani larzaga keltirgan yana bir xavfsizlik hodisasi bo‘ldi.

BlockSec dastlabki tahliliga ko‘ra, bu “yuqori murakkablikdagi narx manipulyatsiyasi hujumi” bo‘lib, asosiy nuqtasi shundaki, hujumchi BPT (Balancer Pool Token) narxini hisoblash mantiqini buzib, invariantdagi (Invariant) yaxlitlash xatolaridan foydalanib, narxni noto‘g‘ri ko‘rsatishga erishadi va bir martalik ommaviy almashuvda qayta-qayta arbitraj qiladi.

Arbitrum tarmog‘idagi hujum tranzaksiyasi misolida, hujum uch bosqichda amalga oshirilgan:

• Hujumchi avval BPTni asosiy aktivlarga almashtirib, cbETH balansini yaxlitlash chegarasiga (taxminan 9 dona) aniq sozlaydi va keyingi bosqichda aniqlik yo‘qotilishini ta’minlaydi;

• So‘ngra, ma’lum miqdorda (=8) boshqa asosiy aktiv wstETH va cbETH o‘rtasida almashtirish amalga oshiriladi, bu vaqtda masshtablashda pastga yaxlitlash yuzaga keladi, hisoblangan Δx biroz kamayadi, natijada Δy past baholanadi, bu esa barqaror pool invariant D ni kichiklashtiradi va BPT nazariy narxini pasaytiradi;

• Oxirida, hujumchi asosiy aktivlarni yana BPTga almashtirib, past narxdan arbitraj foydasini oladi.

Qisqacha aytganda, bu matematik va kod chegaralariga asoslangan aniq zarba edi.

Balancer rasmiylari tasdiqlashicha, V2 Composable Stable Pools zaiflik hujumiga uchradi. Hozirda jamoa yetakchi xavfsizlik tadqiqotchilari bilan birga tergov olib bormoqda va tez orada to‘liq tahlil hisobotini taqdim etishni va’da qilmoqda. Barcha to‘xtatilishi mumkin bo‘lgan ta’sirlangan poollar favqulodda muzlatilib, tiklash rejimiga o‘tkazildi. Bu zaiflik faqat V2 Composable Stable Pools’ga ta’sir qiladi, Balancer V3 yoki boshqa pool turlariga ta’sir qilmaydi.

Balancer V2 zaifligi yuzaga chiqqandan so‘ng, fork Balancer loyihalarida ham kuchli tebranishlar kuzatildi. DeFiLlama ma’lumotlariga ko‘ra, 4-noyabr holatiga ko‘ra, tegishli loyihalarning jami TVL (Total Value Locked) atigi 49.34 million dollarni tashkil etib, bir kunda 22.88% ga kamaydi. Ular orasida BEX, Berachain’ning mahalliy DEX’i sifatida, TVL 26.4% ga kamayib, 40.27 million dollarga tushdi va butun ekotizimning 81.6% ini tashkil qilmoqda, biroq tarmoq to‘xtashi va likvidlik muzlatilishi sababli mablag‘ chiqishi davom etmoqda. Yana bir jabrlanuvchi Beets DEX esa yanada og‘ir ahvolga tushdi, 24 soatda TVL 75.85% ga qulab, so‘nggi 7 kunda deyarli 79% ga kamaydi.

Yuqoridagi protokollardan tashqari, Balancer arxitekturasiga asoslangan boshqa DEX’larda ham vahimali mablag‘ chiqarishlar kuzatildi. PHUX bir kunda 26.8% ga, Jellyverse 15.5% ga, Gaming DEX esa 89.3% ga qulab, likvidlik deyarli butunlay yo‘qoldi. Hatto to‘g‘ridan-to‘g‘ri zarar ko‘rmagan kichik va o‘rta loyihalar, masalan, KLEX Finance, Value Liquid, Sobal va boshqalar ham, odatda 5%–20% mablag‘ chiqishini qayd etdi.

Zanjirli reaksiya ko‘rinmoqda, Berachain favqulodda hard fork o‘tkazdi

Balancer V2 zaifligidan boshlangan bu voqea tez orada yanada katta zanjirli reaksiyani keltirib chiqardi.

Cosmos SDK asosida qurilgan yangi ommaviy tarmoq Berachain, BEX ham Balancer V2 kontrakt arxitekturasidan foydalangani sababli, bir necha soat ichida xakerlar hujumiga uchradi. Fond anomal holatni aniqlagach, tezda “butun tarmoqni to‘xtatish”ni e’lon qildi.

Ma’lumotlarga ko‘ra, BEX’ning USDe Tripool va boshqa likvidlik pool aktivlari xavf ostida bo‘lib, ta’sirlangan mablag‘ hajmi taxminan 12 million dollarni tashkil etdi. Hujumchilar Balancer’dagi bilan bir xil mantiqiy zaiflikdan foydalanib, bir nechta smart-kontraktlar orqali mablag‘larni o‘g‘irlashdi. Ba’zi aktivlar mahalliy token bo‘lmagani uchun, jamoa hard fork orqali ayrim bloklarni qaytarish va kuzatish ishlarini amalga oshirishi kerak bo‘ldi.

Shu bilan birga, Berachain ekotizimidagi bir nechta protokollar, jumladan Ethena, Relay, HONEY va boshqalar ham himoya choralarini ko‘rdi:

• USDe’ni kross-zanjir chiqarishni taqiqlash;
• Kredit bozoridagi depozitlarni to‘xtatish;
• HONEY ni chiqarish va qaytarishni to‘xtatish;
• Markazlashgan birjalarga shubhali manzillarni qora ro‘yxatga olish haqida xabar berish.

Berachain Foundation bayonotida aytilishicha, Berachain tarmog‘ining to‘xtatilishi rejalashtirilgan bo‘lib, tarmoq tez orada normal ishlashga qaytadi. Balancer zaifligi asosan Ethena/Honey uch pooliga ta’sir ko‘rsatdi va nisbatan murakkab smart-kontrakt tranzaksiyalari orqali amalga oshirildi. Bu zaiflik mahalliy bo‘lmagan aktivlarga (faqat BERA emas) ta’sir qilgani sababli, rollback/forward jarayoni oddiy hard fork emas, shuning uchun yakuniy yechim aniqlanmaguncha, tarmoq to‘liq yechim uchun to‘xtatiladi.

4-noyabr kuni Berachain Foundation ma’lum qilishicha, hozirda hard fork uchun binary fayllar tarqatildi va ayrim validatorlar yangilandi. Tarmoq qayta ishga tushib, bloklar yaratilishidan oldin, asosiy infratuzilma hamkorlari (masalan, likvidatsiya oracle’lari) o‘z RPC’larini yangilaganiga ishonch hosil qilinadi, ular tarmoqni tiklashdagi asosiy to‘siq bo‘ladi. Asosiy xizmatlarning RPC so‘rovlari yakunlangach, jamoa cross-chain ko‘priklar, CEX hamkorlari, kustodial xizmatlar bilan hamkorlikda xizmatlarni tiklaydi.

Shu bilan birga, Berachain MEV bot operatori tarmoq to‘xtatilgach, fond bilan bog‘lanib, o‘zini “oq shlyapa” deb tanishtirdi va zanjirda xabar yubordi. U blokcheyn ishga tushgach, mablag‘larni qaytarish uchun oldindan bir qator tranzaksiyalarga imzo chekishga tayyorligini bildirdi.

Xavfsizlik birinchi o‘rinda yoki markazsizlanishmi?

“Bu qaror bahsli ekanini bilamiz, lekin taxminan 12 million dollar foydalanuvchi aktivlari xavf ostida bo‘lganida, foydalanuvchilarni himoya qilish yagona tanlov edi.” Berachain hammuassisi Smokey The Bera hamjamiyatning “markazlashuv” haqidagi savollariga javob berdi.

U bayonotida tan oldiki, Berachain hali Ethereum darajasidagi markazsizlanishga erishmagan, validatorlar o‘rtasidagi muvofiqlashtirish “inqiroz shtabi”ga o‘xshaydi, avtomatlashtirilgan konsensus tarmog‘iga emas. Aslida, tarmoq tugunlari zaiflik yuzaga chiqqanidan bir soat o‘tmay bir vaqtda to‘xtatildi, bu markazlashgan qaror qabul qilish samaradorligini ko‘rsatdi, lekin boshqaruv darajasidagi markazlashuvni ham fosh etdi.

Hamjamiyat reaksiyasi darhol ikkiga bo‘lindi.

Qo‘llab-quvvatlovchilar bu harakatni foydalanuvchi xavfsizligiga mas’uliyat sifatida, “realistik markazsizlanish” deb baholadi; qarshilar esa “Code is Law (Kod qonun)” tamoyiliga zid, tarmoqda orqaga qaytarib bo‘lmaydiganlik prinsipiga ochiqdan-ochiq xiyonat deb hisoblashdi.

Zanjirdagi tergovchi ZachXBT izohda shunday dedi: “Foydalanuvchi mablag‘lari xavf ostida bo‘lganida, bu qiyin, lekin to‘g‘ri qaror.”

Biroq, radikal ishlab chiquvchilar ochiq aytishdi: “Agar blokcheyn istalgan vaqtda inson tomonidan to‘xtatilishi mumkin bo‘lsa, u an’anaviy moliya tizimidan nimasi bilan farq qiladi?”

DAO voqeasining soyasi yana paydo bo‘ldi

Bu voqea ko‘plab soha vakillariga 2016-yilda Ethereum DAO xakerlik hodisasini eslatdi. O‘shanda, Ethereum o‘g‘irlangan 50 million dollarni qaytarib olish uchun hard fork orqali tranzaksiyalarni orqaga qaytarishga qaror qilgan va natijada hamjamiyat Ethereum (ETH) va Ethereum Classic (ETC) ga bo‘lingan edi.

To‘qqiz yil o‘tib, o‘xshash tanlov yana yuzaga chiqdi.

Farqi shundaki, bu safar bosh qahramon rivojlanishning dastlabki bosqichidagi ommaviy tarmoq bo‘lib, u yetarli darajada markazsizlanmagan va global konsensusga ega emas.

Berachain’ning inson aralashuvi kengroq yo‘qotishlarning oldini oldi, biroq yana “blokcheyn haqiqatan ham o‘z-o‘zini boshqara oladimi?” degan falsafiy savolni ko‘ndalang qo‘ydi.

Ma’lum ma’noda, bu DeFi ekotizimining o‘ziga xos ko‘zgusi: xavfsizlik, samaradorlik, markazsizlanish — bu uchlik o‘rtasida muvozanat hech qachon to‘liq amalga oshmagan.

Xakerlar bir necha soniya ichida o‘n millionlab dollar aktivlarni yo‘q qila oladigan paytda, “ideal” ko‘pincha “haqiqat”ga yo‘l ochib beradi.

Balancer rasmiylari jamoa yetakchi xavfsizlik tadqiqotchilari bilan hamkorlik qilayotganini, to‘liq tahlil hisobotini e’lon qilishni rejalashtirayotganini va foydalanuvchilarni soxta xavfsizlik jamoalarining firibgarlik xabarlaridan ehtiyot bo‘lishga chaqirdi.

Berachain esa hard fork tugagach, blok ishlab chiqarish va tranzaksiya funksiyalarini bosqichma-bosqich tiklashni rejalashtirmoqda.

Biroq, ishonchni tiklash zaiflikni tuzatishdan ko‘ra ancha qiyin. Yangi ommaviy tarmoq uchun tarmoqni to‘xtatish qisqa muddatli yong‘inni o‘chirish bo‘lsa-da, hamjamiyatda uzoq muddatli iz qoldirishi mumkin. Foydalanuvchilar uning markazsizlanishiga shubha bilan qaraydi, ishlab chiquvchilar esa o‘zgartirib bo‘lmaydigan kafolat borligiga ishonch hosil qilmaydi.

DeFi dunyosi, ehtimol, markazsizlanishni qayta aniqlamoqda — bu mutlaq erkinlik emas, balki inqirozda eng kichik murosaga kelish konsensusidir.