11 ta audit ham Balancer’ning $128 millionlik xakerlik hujumini to‘xtata olmadi va bu DeFi xavflarini qayta belgiladi

Yillar davomida Balancer DeFi’ning eng ishonchli institutlaridan biri sifatida tanilgan, bir nechta ayiq bozorlarini, auditlarni va integratsiyalarni mojarosiz boshdan kechirgan protokol edi.

Biroq, bu ishonchlilik 3-noyabr kuni qulab tushdi, chunki blokcheyn xavfsizlik firmasi PeckShield Balancer va uning bir nechta forklarida bir nechta zanjirlar bo‘ylab tarqalayotgan faol ekspluatatsiya haqida xabar berdi.

Biroz soat ichida 128 million dollardan ortiq mablag‘ yo‘qoldi, natijada suvi quritilgan poollar, muzlatilgan protokollar va larzaga tushgan investorlar qoldi.

PeckShield ma’lumotlariga ko‘ra, platformaning Ethereum’dagi protokoli eng katta yo‘qotishni, taxminan 100 million dollarni boshdan kechirdi. Berachain 12.9 million dollar bilan keyingi o‘rinda, Arbitrum, Base va Sonic, Optimism, Polygon kabi kichik forklar esa pastroq, ammo baribir sezilarli o‘g‘irliklarni qayd etdi.

Balancer Hack’dan o‘g‘irlangan jami mablag‘lar (Manba: Peckshield)

O‘g‘irlik davom etar ekan, Balancer “Balancer v2 poollariga ta’sir qiluvchi potentsial ekspluatatsiya”ni tan oldi va muammoni muhandislik va xavfsizlik jamoalari yuqori ustuvorlik bilan o‘rganayotganini bildirdi.

Biroq, bu tan olish integratorlar va forklar bo‘ylab yechib olishlarni sekinlashtira olmadi.

Kunning oxiriga kelib, DeFiLlama ma’lumotlariga ko‘ra, Balancer’ning umumiy bloklangan qiymati (TVL) 46% ga kamayib, taxminan 422 million dollarga tushdi, matbuot vaqtida esa 770 million dollar edi.

Balancer DeFi Hack (Manba: DeFiLlama)

Nima bo‘ldi?

Blokcheyn xavfsizlik firmasi Phalcon tomonidan o‘tkazilgan dastlabki sud-tibbiy ekspertizaga ko‘ra, hujumchi Balancer Pool Tokens (BPT) — foydalanuvchilarning likvidlik poolidagi ulushlarini ifodalovchi tokenlarni nishonga olgan.

Firmaga ko‘ra, zaiflik Balancer batch swaplar paytida pool narxlarini qanday hisoblashidan kelib chiqqan. Ushbu mantiqni manipulyatsiya qilish orqali ekspluatator ichki narx feed’ini buzib, sun’iy nomutanosiblik yaratgan va tizim o‘zini to‘g‘rilashidan oldin tokenlarni yechib olishga imkon bergan.

Hujumchi Balancer kodidan qanday foydalangan (Manba: Phalcon)

Kripto tahlilchisi Adi yozdi:

“Noto‘g‘ri avtorizatsiya va callback’larni boshqarish hujumchiga himoya choralarini chetlab o‘tishga imkon berdi. Bu esa bog‘langan poollar bo‘ylab ruxsatsiz swaplar yoki balans manipulyatsiyalarini amalga oshirishga, aktivlarni bir necha daqiqa ichida tezda suvi quritishga olib keldi.”

Bu orada, Balancer’ning uzoq vaqtdan beri moslashuvchanligi uchun maqtalgan composable vault arxitekturasi zarar miqdorini oshirdi. Vaultlar bir-biriga dinamik tarzda murojaat qila olgani sababli, buzilish bog‘langan poollar bo‘ylab to‘lqinlanib ketdi.

Qiziqarli tomoni shundaki, Coinbase’dan Conor Grogan hujumchining yondashuvi professional murakkablikni ko‘rsatganini ta’kidladi.

Grogan hujumchining manzili dastlab Tornado Cash’dan 100 ETH bilan moliyalashtirilganini qayd etdi, bu esa mablag‘lar avvalgi ekspluatatsiyalardan kelib chiqqan bo‘lishi mumkinligini anglatadi.

“Odamlar odatda Tornado Cash’da 100 ETH saqlashmaydi,” deb yozdi u, tranzaksiya namunasi tajribali va ilgari faol bo‘lgan xakerga ishora qilganini bildirdi.

DeFi ishonchining qulashi

Ekspluatatsiyaning o‘zi texnik bo‘lsa-da, uning ta’siri psixologik bo‘ldi.

Balancer uzoq vaqt davomida likvidlik ta’minotchilari uchun konservativ maydon sifatida qaralgan, aktivlarni joylashtirib, barqaror va kamtar daromad olish mumkin bo‘lgan joy edi. Uning uzoq umr ko‘rishi, auditlari va yetakchi DeFi platformalaridagi integratsiyalari chidamlilik xavfsizlikka teng degan illuziyani yaratgan edi. 3-noyabr kuni sodir bo‘lgan buzilish bu hikoyani bir kechada yo‘qqa chiqardi.

Rotki kripto platformasi asoschisi Lefteris Karapetsas buni “ishonch qulashi” deb atadi va bu faqat DeFi platformasining xakerligi emasligini ta’kidladi.

U quyidagilarni tanqid qildi:

“2020-yildan beri faol bo‘lgan, auditdan o‘tgan va keng qo‘llaniladigan protokol hali ham deyarli to‘liq TVL yo‘qotishiga duch kelishi mumkin. Bu DeFi ‘barqaror’ deb hisoblaydigan har bir kishi uchun xavfli signal.”

Bu reaksiya kengroq kayfiyatni aks ettirdi. O‘z-o‘zini saqlash va tekshiriladigan kod qadrlanadigan bozorda, ishonch DeFi’ning yashirin poydevoriga aylanib ulgurgan edi.

Balancer’ning muvaffaqiyatsizligi hatto matematik jihatdan to‘g‘ri tizimlar ham kutilmagan murakkablikka zaif ekanini ko‘rsatdi.

Cork Protocol’ning taxallusli ishlab chiquvchisi Robdog shunday dedi:

“[DeFi] asoslari tobora xavfsizroq bo‘lib borayotgan bo‘lsa-da, achchiq haqiqat shundaki, aqlli kontrakt xavfi har tarafimizda.”

DeFi uchun oqibatlar

Balancer ekspluatatsiyasi markazlashtirilmagan moliya uchun nozik bir pallada sodir bo‘ldi va qisqa muddatli tinchlikni buzdi. Oktyabr oyida, PeckShield ma’lumotlariga ko‘ra, xakerlikdan yo‘qotishlar yil davomida eng past darajaga — atigi 18 million dollarga tushgandi.

Biroq, noyabr oyidagi bitta hodisa bilan bu raqam allaqachon 120 million dollardan oshib ketdi va 2025-yilda DeFi buzilishlari bo‘yicha uchinchi eng yomon oy bo‘ldi.

2025-yilda oylik DeFi xakerlik yo‘qotishlari (Manba: DeFiLlama)

Bu orada, ushbu hujum DeFi markazida yotgan asosiy paradoksni ko‘rsatadi: composability — protokollar bir-biriga ulanib, bir-biriga asoslanishiga imkon beruvchi xususiyat — tizimli xavfni ham kuchaytiradi.

Balancer kabi asosiy protokol buzilganda, uning ta’siri unga tayanadigan tarmoqlar bo‘ylab darhol tarqaladi.

Berachain’da validatorlar infeksiyani oldini olish uchun blok ishlab chiqarishni to‘xtatdi. Boshqa protokollar ham kreditlash va bridging funksiyalarini vaqtincha to‘xtatib turdi.

Bu tezkor harakatlar yo‘qotishlarni chekladi, biroq ular shuni ham ko‘rsatdiki, DeFi an’anaviy moliyani barqarorlashtiradigan muvofiqlashtirish mexanizmlaridan xoli ishlaydi.

Bu sohada na regulyatorlar, na markaziy banklar, na majburiy zaxiralar mavjud. Aksincha, inqirozni boshqarish ko‘pincha ishlab chiquvchilar va auditorlarning hamkorligiga, ko‘pincha bir necha daqiqa ichida, oqibatlarni cheklashga bog‘liq.

Shu nuqtai nazardan, Robdog shunday dedi:

[Bu] xavfni boshqarish infratuzilmasini yaxshilashimiz kerakligini eslatib turadi.”

Darhol texnik yo‘qotishdan tashqari, ishonchga yetkazilgan zarar tiklash uchun ancha qiyin bo‘lishi mumkin.

Har bir yirik ekspluatatsiya DeFi’ning o‘zini-o‘zi tartibga soluvchi kod va’dasiga bo‘lgan ishonchni yemiradi. Sanoatga sarmoya kiritishni o‘ylayotgan institutsional investorlar uchun takroriy muvaffaqiyatsizliklar markazlashtirilmagan bozorlar hali ham eksperimental ekanini anglatadi.

Karapetsas ta’kidladi:

“Bunday mo‘rt tizimlarga jiddiy kapital ajratilmaydi.”

Bu qarash allaqachon dunyoning yirik iqtisodiyotlarida siyosatga ta’sir ko‘rsatmoqda.

Web3’ning taniqli ishlab chiquvchisi Suhail Kakar Balancer ekspluatatsiyasidan keyin achchiq haqiqatni ta’kidladi: bir nechta, yuqori darajadagi xavfsizlik auditlari ham DeFi’da xavfsizlikni kafolatlay olmaydi.

U ta’kidlaganidek, Balancer o‘ndan ortiq auditdan o‘tgan, uning asosiy vault kontrakti bir nechta mustaqil firmalar tomonidan ko‘rib chiqilgan; biroq, protokol baribir yirik buzilishdan aziyat chekdi.

Kakar’ning fikri sanoatda kuchayib borayotgan kayfiyatni aks ettiradi: “X tomonidan auditdan o‘tgan” endi xatoliksizlik belgisi emas; aksincha, bu markazlashtirilmagan tizimlarning tug‘ma murakkabligi va oldindan aytib bo‘lmaydiganligini, hatto yaxshi sinovdan o‘tgan kod ham ko‘rinmas zaifliklarni o‘zida saqlashi mumkinligini ko‘rsatadi.

Balancer V2 Auditlari (Manba: Balancer docs via Suhail Kakar)

Qo‘shma Shtatlarda rasmiylar DeFi protokollariga nisbatan tartibga solishlarni joriy etuvchi huquqiy asoslarni ishlab chiqmoqda. Sanoat kuzatuvchilari Balancer ekspluatatsiyasi ushbu harakatlarni tezlashtirishini kutmoqda, chunki siyosatchilar kripto va an’anaviy moliya sanoati o‘rtasidagi integratsiyaning ortib borayotgan xavfi bilan kurashmoqda.