5 yilda 6 marta hodisa, zarar 100 milliondan oshdi, eski DeFi protokoli Balancer xakerlar tomonidan necha marta nishonga olingan tarix

Chainfeeds Kirish:

Kuzatuvchilar uchun DeFi yangi va qiziqarli ijtimoiy eksperiment bo‘lsa, ishtirokchilar uchun DeFi’dan o‘g‘irlik qimmatli saboq bo‘ldi.

Manba:

Deep Tide TechFlow

Fikrlar:

Deep Tide TechFlow:Balancer rasmiylari hodisadan so‘ng tezda bayonot chiqardi, V2 pool’lariga ta’sir qilishi mumkin bo‘lgan zaiflik aniqlanganini tan oldi va muhandislik hamda xavfsizlik jamoasi voqeani yuqori ustuvorlikda o‘rganayotganini, ko‘proq ma’lumotga ega bo‘lgach, tekshiruv natijalari va keyingi choralarni e’lon qilishini bildirdi. Shu bilan birga, jamoa o‘g‘irlangan aktivlarning 20% qismini oq shapka mukofoti sifatida taklif qilib, mablag‘larni qaytarib olishga harakat qilayotganini, bu taklif 48 soat amal qilishini e’lon qildi. Ushbu tezkor javobga qaramay, bayonot rasmiy ohangda bo‘lib, hamjamiyat xavotirini bartaraf eta olmadi. DeFi’ning tajribali foydalanuvchilari uchun Balancer’ning xakerlik hodisalari deyarli davriy yangilikka aylangan. 2020-yilda tashkil etilganidan beri, ilgari moslashuvchan market-meyker sifatida maqtalgan ushbu eski protokol besh yil ichida jami olti marta xavfsizlik hodisasiga uchradi, deyarli har yili bir marta xakerlik “yillik sayohati”ga duch keldi. 2020-yil iyun oyida Balancer deflyatsion token STA bilan ishlashdagi zaiflik sababli taxminan 520 ming dollar yo‘qotdi, xaker STA transferida avtomatik yo‘q qilinadigan 1% komissiya xususiyatidan foydalanib, dYdX’dan 104 ming ETH qarz olib, pool ichida 24 marta aylantirib savdo qildi, natijada pooldagi STA tugab, faqat 1 wei qoldi va so‘ngra juda nomutanosib narxda ETH, WBTC, LINK va SNX’ni olib chiqib ketdi. Ushbu hodisa Balancer uchun birinchi katta muvaffaqiyatsizlik bo‘ldi va protokolning murakkab token moslashuvchanligi dizaynidagi zaif asoslarini ko‘rsatdi. Keyingi yillarda Balancer bir necha bor xavfsizlik hodisalariga uchradi. 2023-yil mart oyida Euler Finance xakerlik hujumiga uchragani sababli, Balancer taxminan 11.9 million dollar yo‘qotdi. O‘sha paytda Euler 197 million dollarlik flash loan hujumiga uchradi, Balancer’ning bb-e-USD pool’i Euler eToken’iga ega edi va pool TVL’ining 65% mablag‘i Euler’ga o‘tkazildi. Jamoa pool’ni zudlik bilan muzlatgan bo‘lsa-da, yo‘qotishlarni qoplab bo‘lmadi. O‘sha yil avgust oyida V2 pool’lari “yuvarlash xatosi” zaifligi sababli hujumga uchradi, xaker Boosted Pool aniqlikdagi farqdan foydalanib, BPT ta’minotini noto‘g‘ri hisoblashga erishdi va nohaq kursda aktivlarni yechib oldi. Balancer 22-avgustda foydalanuvchilarga oldindan ogohlantirish va mablag‘larni yechib olishni so‘ragan bo‘lsa-da, besh kundan so‘ng xaker muvaffaqiyatli hujum uyushtirib, taxminan 2.1 million dollar yo‘qotishga sabab bo‘ldi. Sentyabr oyida esa DNS hijack hodisasi yuz berdi, xaker ijtimoiy muhandislik orqali registrator EuroDNS’ni aldab, balancer.fi domenini o‘zlashtirdi va foydalanuvchilarni fishing saytga yo‘naltirdi hamda Angel Drainer zararli kontrakti orqali ruxsat berilgan tranzaksiyalarni amalga oshirdi. Bu hodisa aqlli kontrakt zaifligi bo‘lmasa-da, Web3 protokollarining an’anaviy internet xavfsizligi qatlamida ham zaifligini ko‘rsatdi. 2024-yil iyun oyida Balancer fork loyihasi Velocore xakerlikka uchrab, 6.8 million dollar yo‘qotdi, bu CPMM pool dizaynidagi to‘lib ketish zaifligidan kelib chiqqan bo‘lib, Balancer uslubidagi arxitekturaning tizimli xavfini ko‘rsatdi. 2025-yil noyabr oyidagi ushbu hujum esa hozirgacha eng jiddiy hisoblanadi. Xavfsizlik kompaniyalari Decurity va Defimon Alerts ma’lumotiga ko‘ra, zaiflik V2 protokolidagi manageUserBalance funksiyasining kirish nazorati mantiqiy xatosidan kelib chiqqan. Oddiy holatda tizim chaqiruvchini akkaunt egasi ekanligini tekshirishi kerak edi, biroq kod xato qilib msg.sender va foydalanuvchi tomonidan kiritilgan op.sender parametrining tengligini tekshirgan. op.sender foydalanuvchi tomonidan ixtiyoriy kiritilishi mumkinligi sababli, xakerlar soxta shaxs sifatida kirib, ruxsat tekshiruvini chetlab o‘tib, WITHDRAW_INTERNAL amalini bajarib, trezordan istalgan akkaunt aktivlarini to‘g‘ridan-to‘g‘ri yechib olishga muvaffaq bo‘ldi. Boshqacha aytganda, har kim istalgan akkaunt egasi sifatida ko‘rsatib, mablag‘ yechib olishi mumkin edi. Bunday asosiy kirish nazorati xatosining besh yil ishlagan yetuk protokolda uchrashi hayratlanarli. Tarixga nazar tashlasak, Balancer’ning murakkabligi va tezkor iteratsiyasi xavfsizlik chegaralarini doimiy ravishda noaniq qilib borgan — maksimal sakkiz xil token uchun moslashtirilgan og‘irlikli pool dizayni moslashuvchanlikni oshirgan bo‘lsa-da, hujum yuzasini eksponentsial ravishda kengaytirgan. Funksiyalar ko‘payib, texnik qarz ortib borgani sari, Balancer kodi tuzilmasi mo‘rt g‘isht minorasiga o‘xshab qoldi. So‘nggi zaiflik faqat bitta kontrakt xatosini emas, balki DeFi rivojlanish yo‘nalishidagi xavfni ham ochib berdi: narrativ va kapital ishtiyoqi fonida kod barqarorligi go‘yo ikkinchi darajali masalaga aylangandek.