6 incydentów w ciągu 5 lat, każda z nich przyniosła straty powyżej 100 milionów – historia ataków hakerskich na długoletni protokół DeFi Balancer

Chainfeeds Wprowadzenie:

Dla obserwatorów DeFi to nowatorski eksperyment społeczny; dla uczestników, kradzież w DeFi to kosztowna lekcja.

Źródło artykułu:

TechFlow

Opinia:

TechFlow: Oficjalny zespół Balancer szybko po incydencie wydał oświadczenie, przyznając, że wykryto lukę mogącą wpłynąć na pule V2, oraz poinformował, że zespoły inżynieryjne i bezpieczeństwa prowadzą dochodzenie priorytetowo i po uzyskaniu większej ilości informacji opublikują wyniki weryfikacji oraz dalsze kroki. Jednocześnie zespół ogłosił gotowość zaoferowania 20% wartości skradzionych aktywów jako nagrody white-hat za odzyskanie środków, z terminem 48 godzin. Reakcja była szybka, ale wciąż oficjalna i nie uspokoiła społeczności. Dla doświadczonych użytkowników DeFi, ataki na Balancer stały się niemal cykliczną wiadomością. Od momentu powstania w 2020 roku, ten niegdyś uznawany za elastycznego animatora rynku protokół, doświadczył sześciu incydentów bezpieczeństwa w ciągu pięciu lat, niemal co roku padając ofiarą hakerskich ataków. W czerwcu 2020 roku Balancer stracił około 520 000 dolarów z powodu luki w obsłudze deflacyjnego tokena STA; atakujący wykorzystał cechę automatycznego spalania 1% opłaty transakcyjnej STA, pożyczył 104 000 ETH z dYdX i przeprowadził 24 cykle transakcji w puli, aż do wyczerpania STA w puli, pozostawiając tylko 1 wei, po czym wymienił go na ETH, WBTC, LINK i SNX po bardzo niekorzystnym kursie. To wydarzenie było pierwszą poważną porażką Balancer i ujawniło kruchą podstawę protokołu w zakresie kompatybilności złożonych tokenów. W kolejnych latach Balancer wielokrotnie doświadczał incydentów bezpieczeństwa. W marcu 2023 roku, w wyniku ataku na Euler Finance, Balancer stracił około 11,9 miliona dolarów. Wówczas Euler padł ofiarą ataku flash loan na 197 milionów dolarów, a pula bb-e-USD Balancer posiadała Euler eToken, przez co środki zostały przeniesione do Euler, co stanowiło 65% TVL tej puli. Mimo że zespół natychmiast zamroził pulę, straty nie dało się odzyskać. W sierpniu tego samego roku, pule V2 padły ofiarą ataku wykorzystującego błąd zaokrągleń; atakujący wykorzystał niedokładność Boosted Pool, powodując nieprawidłowe obliczenia podaży BPT i wycofał aktywa po nieuczciwym kursie. Chociaż Balancer już 22 sierpnia ostrzegł użytkowników i zalecił wycofanie środków, pięć dni później haker zdołał przeprowadzić atak, powodując stratę około 2,1 miliona dolarów. We wrześniu doszło do ataku typu DNS hijacking, w którym hakerzy, wykorzystując inżynierię społeczną, przejęli rejestratora EuroDNS i przejęli domenę balancer.fi, przekierowując użytkowników na stronę phishingową i nakłaniając do autoryzacji przelewów za pomocą złośliwego kontraktu Angel Drainer. Chociaż ten incydent nie był związany z luką w smart kontrakcie, pokazał słabość protokołów Web3 na warstwie bezpieczeństwa tradycyjnego internetu. W czerwcu 2024 roku forka Balancer, Velocore, został zhakowany, tracąc 6,8 miliona dolarów z powodu luki przepełnienia w projekcie puli CPMM, co uwypukliło systemowe ryzyko architektury Balancer. Atak z listopada 2025 roku jest jednak najpoważniejszy do tej pory. Firmy bezpieczeństwa Decurity i Defimon Alerts wskazały, że luka wynikała z błędu w logice kontroli dostępu funkcji manageUserBalance w protokole V2. W normalnych warunkach system powinien sprawdzać, czy wywołujący jest właścicielem konta, ale kod błędnie weryfikował, czy msg.sender jest równy parametrowi op.sender zdefiniowanemu przez użytkownika. Ponieważ op.sender może być dowolnie ustawiony przez użytkownika, atakujący mógł podszyć się pod dowolnego właściciela konta i wykonać operację WITHDRAW_INTERNAL, bezpośrednio wypłacając aktywa z dowolnego konta. Innymi słowy, każdy mógł podszyć się pod dowolnego właściciela konta i wypłacić środki. Tak podstawowy błąd kontroli dostępu w dojrzałym protokole działającym od pięciu lat jest szokujący. Historia pokazuje, że złożoność Balancer i szybka iteracja prowadziły do ciągłego rozmywania granic bezpieczeństwa — projekt puli o niestandardowych wagach, pozwalający na maksymalnie osiem różnych tokenów, zwiększał elastyczność, ale wykładniczo powiększał powierzchnię ataku. Wraz z dodawaniem funkcji i narastaniem długu technologicznego, struktura kodu Balancer przypominała kruchą wieżę z klocków. Najnowsza luka ujawnia nie tylko błąd w kontrakcie, ale także niepokojącą ścieżkę rozwoju DeFi: w obliczu narracji i gorączki kapitału, solidność kodu wydaje się być drugorzędna.