Balancer, 1.28 milyon dolarlık Hacker saldırısına uğradı: akıllı sözleşmelerdeki açıkların detayları ifşa edildi.

Bu DeFi güvenlik olayı insanı biraz hazırlıksız yakaladı. Balancer adlı bu tanınmış piyasa yapıcı protokol, az önce bir hacker tarafından 1.28 milyon dolardan fazla soyuldu ve şu anda fonlar saldırganın cüzdanından sürekli olarak aktarılmaya devam ediyor.

Saldırı nasıl gerçekleşti

Zincir üstü güvenlik ekibinin analizine göre, bu bir özel anahtar sızıntısının klasik bir yöntemi değil, tamamen bir akıllı sözleşme saldırısı. Saldırgan, Balancer V2'nin fon havuzunun başlatma aşamasında bir kötü niyetli sözleşme dağıttı.

Spesifik olarak:

Açık Kısımları: Yanlış erişim kontrolü + geri çağırma işlevi işleme hatası. Saldırgan, sözleşme etkileşimindeki geri çağırma sürecini manipüle ederek mevcut güvenlik mekanizmalarını aşmayı başardı ve doğrudan birbirine bağlı likidite havuzları arasında bir “arbitraj şöleni” yarattı - birkaç dakika içinde varlıkları boşaltmayı başardı.

Teknik Detaylar: Başlatma sırasında sözleşmeler arası çağrılarda yetkilendirme kontrolü yapılmadığı için saldırganların işlemleri sahteleyebilmesi ve havuzdaki bakiye verilerini değiştirebilmesi sağlandı. Bu, yetkisiz token takası ve fon transferlerine neden oldu.

Aşınmış Varlık Detayları

Hacker bu sefer oldukça zengin bir hasat elde etti:

• Ethereum zinciri: 7000'den fazla milyon dolar (özellikle ETH ve onun türevleri, wETH, stETH, osETH, frxETH, rsETH, rETH dahil)
• Base + Sonic: yaklaşık 7 milyon dolar
• Diğer zincirler: yaklaşık 2 milyon dolar

Toplamda yaklaşık 1.16 milyon ～ 1.28 milyon ABD doları arasında.

Neden Balancer bu kadar kolay bir şekilde soyulabiliyor

Balancer protokolünün tasarım özellikleri aslında onun “zayıf noktası” haline gelmiştir - havuzlar arasındaki etkileşim tasarımı oldukça sıkı bir şekilde yapılmıştır, bu normal durumlarda sermaye verimliliğini artırabilir, ancak bir kez kötüye kullanıldığında "zincirleme reaksiyon"un kıvılcımı haline gelir.

CEO Deddy Lavid, bu saldırının erişim kontrol mekanizmasının çöküşünden kaynaklandığını, bu durumun saldırganların protokolün içindeki bakiye verilerini doğrudan manipüle etmelerine olanak sağladığını belirtti. Benzer güvenlik açıkları diğer otomatik piyasa yapıcılarında da görülmüştür ve genellikle token işleme ile havuzun yeniden dengelenmesi mantığıyla ilgilidir.

Son Gelişmeler

Çalınan fonlar, açıkça “aklama” için hazırlanıyor gibi, karıştırıcıya veya çapraz zincir köprüye aktarılmıştır. Balancer'ın mühendislik ve güvenlik ekibi, soruşturmayı en yüksek öncelik ile başlatmıştır.

Hatırlatma: Bu olay, Merkezi Olmayan Finans'ın akıllı sözleşmelerinin güvenliğinin her zaman birinci öncelik olduğunu bir kez daha gösterdi - ne kadar etkileyici bir protokol tasarımı olursa olsun, bir geri çağırma fonksiyonundaki bir hata bile manipülatörlerin kaçmasına neden olabilir.