5 yil davomida 11 marta auditdan o‘tgan, 6 marta o‘g‘irlangan, qora tarixi to‘xtamagan Balancer nega hali ham muxlislarga ega?

Deng Tong, Jinse Finance

2025-yil 3-noyabrda, DeFi protokoli Balancer xakerlar hujumiga uchradi va natijada 100 million dollardan ortiq raqamli aktivlar o‘g‘irlab ketildi. Balancer jamoasi shunday dedi: Biz Balancer v2 havzalarida zaiflik bo‘lishi mumkinligini payqadik, muhandislik va xavfsizlik jamoamiz hozirda ustuvor ravishda tekshiruv olib bormoqda.

Ushbu maqolada Balancer hujumi tafsilotlari ko‘rib chiqiladi, turli tomonlarning reaksiyalari keltiriladi, Balancer’ning “qora tarixiga” nazar tashlanadi va nima uchun Balancer’da tez-tez xavfsizlik hodisalari yuz bersa ham, ko‘plab muxlislari borligi muhokama qilinadi.

I. Balancer hujumi tafsilotlari

Dushanba kuni, markazsizlashtirilgan birja va avtomatik market-meyker Balancer xakerlar hujumiga uchradi, natijada 116 million dollardan ortiq raqamli aktivlar yangi yaratilgan hamyonga ko‘chirildi.

Balancer jamoasi dushanba kuni X forumida quyidagicha post qoldirdi: “Biz Balancer v2 havzalariga ta’sir qilishi mumkin bo‘lgan zaiflikni payqadik. Muhandislik va xavfsizlik jamoamiz bu masalani yuqori ustuvorlik bilan o‘rganmoqda.” Qo‘shimcha ma’lumotlar bo‘lishi bilan, yangilanishlar ulashiladi.

Boshlang‘ich on-chain ma’lumotlariga ko‘ra, Balancer hujumga uchrab, 70.9 million dollarlik likvid staking Ethereum yo‘qotdi. Etherscan loglarida Ethereum uchta tranzaksiya orqali yangi hamyonga o‘tkazilgani ko‘rsatilgan.

Kripto razvedka platformasi Nansen X’dagi postida, o‘g‘irlangan aktivlar orasida 6,850 StakeWise staking ETH (OSETH), 6,590 Wrapped Ether (WETH) va 4,260 Lido wstETH (wSTETH) borligini bildirdi.

Biroq, o‘g‘irlangan aktivlar faqat 70.9 million dollar bilan cheklanmaydi, o‘g‘irlangan miqdor oshishda davom etdi. Blockchain ma’lumot platformasi Lookonchain’ga ko‘ra, dushanba kuni soat 8:52 (UTC+8) ga kelib, davom etayotgan hujum natijasida o‘g‘irlangan mablag‘ 116.6 million dollardan oshdi.

Balancer on-chain orqali murojaat qilib, o‘g‘irlangan aktivlarning 20%ini oq shlyapa mukofoti sifatida qaytarib olish uchun to‘lashga tayyorligini bildirdi, bu taklif 48 soat amal qiladi. Agar mablag‘lar 48 soat ichida qaytarilmasa, Balancer blockchain sud-ekspertlari va huquqni muhofaza qilish organlari bilan hamkorlikni davom ettiradi. Balancer shunday dedi: “Hamkorlarimiz ishonch bilan aytishadiki, infratuzilmamiz orqali to‘plangan kirish loglari metama’lumotlari sizning shaxsingizni aniqlash imkonini beradi, bu metama’lumotlar belgilangan IP manzillar/ASN’lardan kelgan ulanishlarni va on-chain tranzaksiya faoliyati bilan bog‘liq vaqt tamg‘alarini ko‘rsatadi.”

Shundan so‘ng, Balancer X’da quyidagicha tvit qildi: Biz Balancer v2 havzalarida zaiflik bo‘lishi mumkinligini payqadik. Muhandislik va xavfsizlik jamoamiz ustuvor ravishda tekshiruv olib bormoqda. Qo‘shimcha ma’lumotga ega bo‘lishimiz bilan, tasdiqlangan yangilanish va keyingi choralarni tezda ulashamiz.

Balancer X platformasida shunday yozdi: “Bugun soat 7:48 atrofida (UTC), Balancer V2 Composable Stable Pools hujumga uchradi. Jamoamiz yetakchi xavfsizlik tadqiqotchilari bilan birga muammoning sababini o‘rganmoqda va birinchi imkoniyatda ko‘proq natijalar va to‘liq tahlil hisobotini ulashadi. Ushbu havzalar bir necha yildan beri on-chain ishlamoqda, ularning ko‘pi to‘xtatib bo‘lmaydigan vaqt oynasidan o‘tgan. Hozirda to‘xtatish mumkin bo‘lgan barcha havzalar to‘xtatildi va tiklash rejimiga o‘tkazildi. Qolgan Balancer havzalariga ta’sir qilmagan. Muammo faqat V2 Composable Stable Pools bilan cheklangan, Balancer V3 yoki boshqa havzalar ta’sirlanmagan. Xavfsizlik ogohlantirishi: Hozirda internetda Balancer xavfsizlik jamoasi nomidan soxta xabarlar tarqalmoqda, ular bizdan emas. Noma’lum manbalardan kelgan xabarlar bilan muloqot qilmang va noma’lum havolalarni bosmang.”

On-chain tahlilchi Yu Jin kuzatuviga ko‘ra, bugun tongda StakeWise kontrakt chaqiruvi orqali Balancer xakeridan 5,041 osETH (19.3 million dollar)ni qaytarib oldi. Natijada, xaker Balancer’dan o‘g‘irlagan aktivlar 117 million dollardan 98 million dollarga tushdi. Xaker LST’larni ETH’ga almashtirishda davom etmoqda, hozirda o‘g‘irlangan aktivlarning yarmidan ko‘prog‘i ETH’ga aylantirilgan.

II. O‘g‘irlik sabablari tahlili

Balancer hisob-kitob zaifligi turidagi hujumga uchradi. Trading Strategy, Nansen va Phalcon ushbu hujumni turli nuqtai nazardan izohlashdi.

Trading Strategy bosh direktori va hammuassisi Mikko Ohtamaa dastlabki tahlilga ko‘ra, aqlli kontrakt tekshiruvlaridagi nuqson asosiy sabab bo‘lishi mumkinligini ta’kidladi.

Nansen tadqiqot tahlilchisi Nicolai Sondergaard aytishicha, hujumchi “Balancer to‘lov hisobiga katta miqdorda soxta to‘lov kiritib, so‘ngra yechib olish tugmasini bosgan, WETH’ni naqdga aylantirgan, asosan soxta ballarni haqiqiy pulga aylantirgan.”

Blockchain xavfsizlik kompaniyasi Phalcon dastlabki sud-ekspertiza natijalariga ko‘ra, hujumchi Balancer Pool Tokens (BPT) ni nishonga olgan, bu token foydalanuvchining likvidlik havzasidagi ulushini ifodalaydi. Kompaniyaga ko‘ra, zaiflik Balancer havza narxini ommaviy almashtirish paytida hisoblash usulidan kelib chiqqan. Hujumchi ushbu mantiqni manipulyatsiya qilib, ichki narx ma’lumotlarini buzgan va sun’iy narx nomutanosibligini yaratgan, natijada tizim o‘zini tiklashidan oldin tokenlarni chiqarib olgan.

Kripto tahlilchi Adi shunday dedi: “Noto‘g‘ri ruxsat va qayta chaqirishlarni boshqarish hujumchiga xavfsizlik choralarini chetlab o‘tishga imkon berdi. Bu hujumchiga o‘zaro bog‘langan havzalarda ruxsatsiz mablag‘ almashinuvi yoki balans manipulyatsiyasini amalga oshirishga imkon berdi va qisqa vaqt ichida (bir necha daqiqa ichida) aktivlarni tugatdi.”

Coinbase’dan Conor Grogan aytishicha, hujumchi usullari uning professionalligini ko‘rsatadi: Hujumchi manzili dastlab Tornado Cash orqali 100 ETH bilan moliyalashtirilgan, bu mablag‘lar avvalgi ekspluatatsiyalardan kelib chiqqan bo‘lishi mumkinligini anglatadi. “Odamlar odatda shunchaki Tornado Cash’ga 100 ETH kiritmaydi”, bu tajribali xaker harakati.

III. Balancer hujumiga turli tomonlarning reaksiyasi

1. Kripto bozorida keskin pasayish

Balancer o‘g‘irligi va xaker tomonidan deyarli 100 million dollarlik aktivlarning sotuv bosimi tufayli kripto bozorida kayfiyat yomonlashdi, SOL 24 soat ichida deyarli 10% ga tushdi. Ushbu maqola yozilayotgan vaqtda, BTC 104,577 dollar (UTC+8), 24 soatlik pasayish 2.6%; ETH 3,506 dollar (UTC+8), 24 soatlik pasayish 5.6%.

BAL, Balancer protokolining boshqaruv tokeni, ikki xonali pasayishni qayd etdi. Maqola yozilayotgan vaqtda, BAL 0.8376 dollar (UTC+8), 24 soatlik pasayish 12.6%.

2. Balancer fork loyihalariga ta’siri

Redstone hammuassisi Marcin X’da eslatdi: Balancer fork loyihalari, masalan, Sonic’dagi Beets ham ta’sir ko‘rgan ko‘rinadi, DefILlama ma’lumotlariga ko‘ra, bir soatdan ko‘proq vaqt ichida BEX TVL 54 million dollardan 41 million dollarga (UTC+8) tez tushib ketdi, bu 24% dan ortiq pasayish. Bundan tashqari, Berachain’dagi BEX ham ta’sir ko‘rishi mumkin, Beets TVL 10 million dollar (UTC+8), yarim soatda 30% dan ortiq pasayish.

Sonic rasmiy X postida, Balancer xakerlik hodisasi Sonic ekotizimidagi Beets loyihasiga ta’sir qilgani sababli, jamoa xavfsizlik mexanizmini joriy qilganini va bu mexanizm yaqin oradagi tarmoq yangilanishida amalga oshirilishini bildirdi. Bundan tashqari, xakerga tegishli ikki hamyon (0xf19f, 0x0453) muzlatilgan va qo‘shimcha tergov kutilmoqda. Sonic Beets jamoasi bilan keyingi ishlarni davom ettiradi.

Berachain Foundation bildirishicha, validatsiya tugunlari Berachain tarmog‘ini to‘xtatishga kelishib olishdi, bu asosiy jamoaga Balancer V2 bilan bog‘liq BEX’dagi zaiflik muammosini hal qilish uchun favqulodda hard fork o‘tkazishga imkon beradi. Tarmoq to‘xtatilishi rejalashtirilgan va tez orada qayta ishga tushiriladi.

GoPlus ham ijtimoiy tarmoqlarda barcha Fork Balancer DeFi loyihalari ushbu zaiflikdan ta’sirlanganini va bir nechta protokollar hujumga uchraganini bildirdi. Defillama saytida Balancer fork protokollari ro‘yxatini tekshirish, ular bilan o‘zaro aloqani darhol to‘xtatish va aktivlarni o‘z vaqtida yechib olish tavsiya etiladi.

3. Lido ta’sirlanmagan Balancer pozitsiyalarini yechib oldi

Lido postida, ayrim Balancer V2 havzalari hujumga uchragani aytildi. Lido protokoli ta’sirlanmagan, barcha foydalanuvchi mablag‘lari xavfsiz. Ehtiyot chorasi sifatida, Lido GGV boshqaruv jamoasi Veda ta’sirlanmagan Balancer pozitsiyalarini yechib oldi. Barcha Lido Earn mablag‘lari xavfsiz.

4. xUSD 75.7% ga tushib ketdi

So‘nggi 24 soat ichida (UTC+8), Staked Stream USD (XUSD) taxminan 75.7% ga tushib ketdi, bu Balancer xakerlik hujumi natijasida yuzaga kelgan zanjirli reaksiya. Stream Finance shunday dedi: tashqi fond menejeri nazorat qilgan Stream mablag‘laridan taxminan 93 million dollar yo‘qotilganini oshkor qildi. Stream Perkins Coie LLP yuridik firmasidan Keith Miller va Joseph Cutler’ni to‘liq tergovga jalb qildi. Hozirda Stream barcha likvid aktivlarni yechib olmoqda va barcha depozit va yechib olish operatsiyalarini to‘xtatganini e’lon qildi, keyingi yangilanishlar muntazam beriladi.

5. “Kit”lar mablag‘larni yechib oldi

Xakerlik hujumi natijasida, 0x0090 manzilli “kit” 3 yillik sukunatdan so‘ng, Balancer hujumidan so‘ng uyg‘onib, Balancer’dan barcha 6.5 million dollar mablag‘ni (UTC+8) zudlik bilan yechib oldi.

6. Foydalanuvchi reaksiyalari

Kontent yaratuvchisi PythiaCrypto shunday dedi: Huquqiy va xavfsizlik nuqtai nazaridan, yana nima qilish mumkin? Yagona yo‘l – o‘g‘irlangan mablag‘larni topish, muzlatib, so‘ngra egasiga qaytarish. Agar buni ham uddalay olmasak, o‘g‘irlik qilganlarni javobgarlikka tortish yoki jabrlanuvchilarga kompensatsiya to‘lashning imkoni yo‘q.

Boshqa foydalanuvchilar norozilik bildirdi:

“Bu tarixdagi eng katta ekspluatatsiya potentsialiga ega bo‘lgan zaifliklardan biri.”

“116 million yo‘qotilgandan keyin ham ‘potensial’ bor deyish – bu tentaklik.”

“XMR 110 million dollar sarmoya oladi.”

“Cetus protokol, Nemo Finance, endi Balancer Finance? Bularning barchasi bir yil ichida! Biz DeFi’dan foydalanishdan xavotirlanishimiz kerakmi? Axir bu ‘moliyaning kelajagi’, to‘g‘rimi?”

IV. O‘n bir marta auditdan o‘tgan, baribir o‘g‘irlangan: Balancer’ning “qora tarixi”

Balancer nechta auditdan o‘tgan? 11 marta.

TAC blockchain ishlab chiquvchilar bilan aloqalar rahbari Suhail Kakar shunday dedi: “Balancer o‘n martadan ortiq auditdan o‘tgan, trezori turli kompaniyalar tomonidan uch marta auditdan o‘tgan, baribir xakerlar hujumiga uchrab, 110 million dollar yo‘qotdi. Bu sohada ‘X auditdan o‘tgan’ degan gap deyarli ahamiyatsiz. Kod murakkab, DeFi undan ham murakkab.”

GitHub’dagi Balancer V2 audit ro‘yxatiga ko‘ra, to‘rtta xavfsizlik kompaniyasi – OpenZeppelin, Trail of Bits, Certora va ABDK – platformaning aqlli kontraktlarini 11 marta auditdan o‘tkazgan, eng so‘nggi audit Trail of Bits tomonidan 2022-yil sentabrda Stable Pool’ga qaratilgan.

Kripto tahlilchi Antyzo shunday dedi: Xavfsizlik auditida tejamkorlik qilish har doim aks natija beradi. Foydalanuvchi mablag‘lari xavfsiz bo‘lishini tilayman. Har qanday DeFi protokoli uchun audit zarur, bu ixtiyoriy emas, majburiy xarajat.

UntradenOrg hammuassisi ReiSoleil: “Auditchilarning sukuti quloqni teshib yuboradi.”

PegaX hammuassisi Neighman: “Balancer bir necha marta auditdan o‘tgan, 1 million dollarlik bug bounty joriy qilgan, baribir bu falokatdan qocholmadi. Bu sohada xavfsizlikni hech qachon past baholab bo‘lmaydi, bu eng asosiy talab. On-chain trading platformalarida ham shunday.”

Uzoq vaqtdan beri Balancer likvidlik ta’minotchilari uchun konservativ tanlov sifatida qaralgan, aktivlarni saqlash va barqaror daromad olish joyi sifatida tanilgan. Uning uzoq tarixi, qat’iy audit tizimi va asosiy DeFi platformalari bilan integratsiyasi uzoq muddatli ishlash xavfsizlikka teng degan noto‘g‘ri tasavvur uyg‘otgan. Ammo kecha va bugungi xavfsizlik hodisalari bu fikrni rad etdi.

Avval ham Balancer bir necha marta xakerlar hujumiga uchragan.

1. 2020-yil iyun, Balancer deflyatsion token zaifligi hujumiga uchradi, 520 ming dollar yo‘qotildi. Hujumchi Balancer protokoli deflyatsion tokenlarni noto‘g‘ri boshqarganidan foydalandi, dYdX’dan 104 ming ETH lightning loan oldi, so‘ngra STA va ETH o‘rtasida 24 marta savdo qildi. Balancer har bir transferdan keyingi haqiqiy balansni to‘g‘ri hisoblamagani uchun, havzadagi STA 1 wei’gacha kamaydi, hujumchi narx nomutanosibligidan foydalanib, oz miqdordagi STA evaziga ko‘p ETH, WBTC, LINK va SNX oldi.

2. 2023-yil mart, Balancer Euler hodisasidan zarar ko‘rdi, 11.9 million dollar yo‘qotildi. Euler Finance 197 million dollarlik lightning loan hujumiga uchradi, Balancer’ning bb-e-USD havzasi Euler eToken’iga ega bo‘lgani uchun zarar ko‘rdi, taxminan 11.9 million dollar Balancer bb-e-USD havzasidan Euler’ga o‘tkazildi, bu havza TVL’ining 65%ini tashkil etdi.

3. 2023-yil avgust, Balancer V2 havzasi aniqlik zaifligi hujumiga uchradi, 2.1 million dollar yo‘qotildi. Hujumchi aniq manipulyatsiya orqali BPT (Balancer Pool Token) ta’minotini noto‘g‘ri hisoblashga erishdi va havzadan noto‘g‘ri kursda aktivlarni chiqarib oldi. Hujum bir nechta lightning loan tranzaksiyalari orqali amalga oshirildi.

4. 2023-yil sentabr, Balancer DNS hijacking hujumiga uchradi, 240 ming dollar yo‘qotildi. Xaker ijtimoiy muhandislik orqali domen registratori EuroDNS’ni buzdi, balancer.fi domenini egallab oldi, foydalanuvchilar fishing saytga yo‘naltirildi, u yerda Angel Drainer zararli kontrakti orqali foydalanuvchilarni ruxsat berishga undadi, so‘ngra o‘g‘irlangan mablag‘lar Tornado Cash orqali yuvildi.

5. 2024-yil iyun, Balancer Velocore xakerligidan zarar ko‘rdi, 6.8 million dollar yo‘qotildi. Hujumchi Velocore’dagi Balancer uslubidagi CPMM havza kontraktidagi to‘lib ketish zaifligidan foydalandi, to‘lov ko‘paytmasini 100%dan oshirib, hisoblash xatoligiga olib keldi, natijada lightning loan va maxsus chiqarib olish operatsiyasi orqali 6.8 million dollar o‘g‘irladi.

V. Nima uchun tez-tez o‘g‘irlik bo‘lsa ham, sodiq muxlislari bor?

Balancer 2020-yilda ishga tushganidan beri xavfsizlik hodisalari tez-tez yuz bersa ham, ko‘plab foydalanuvchilar uning sodiq muxlislari bo‘lib qolmoqda.

Buning asosiy sababi shundaki, Balancer nafaqat markazsizlashtirilgan birja, balki AMM avtomatik market-meyker hamdir, ko‘p aktivli havzalar, dasturlashtiriladigan og‘irliklar, dinamik to‘lovlar, Boosted kombinatsiyalangan havzalar va boshqalarni qo‘llab-quvvatlaydi. Ko‘plab DeFi loyihalari va strategiyalari (masalan, Yearn, Aura, BeethovenX va boshqalar) Balancer protokoliga asosiy likvidlik qatlami sifatida tayanadi. Shu sababli, xavfsizlik hodisalari bo‘lsa ham, ushbu yuqori darajadagi protokollar ekotizimining inersiyasi foydalanuvchilar sonini ushlab turadi.

Ikkinchidan, Balancer AMM protokoli bo‘lgani uchun, foydalanuvchilarga moslashtirilgan likvidlik havzalarini yaratish va boshqarish imkonini beradi, turli aktivlar kombinatsiyasi va og‘irlik sozlamalarini qo‘llab-quvvatlaydi. Bu ko‘plab professional likvidlik ta’minotchilari va treyderlarni jalb qiladi, ular o‘z strategiyalariga ko‘ra likvidlikni optimallashtirib, yuqori daromad olishlari mumkin. Balancer algoritmi likvidlikdan samaraliroq foydalanishga imkon beradi, an’anaviy AMM’ga nisbatan bir xil likvidlikda yaxshiroq savdo narxi va pastroq slippage ta’minlaydi. Bu katta va tez-tez savdo qiladigan foydalanuvchilar uchun juda muhim, ular savdo xarajatlarini kamaytiradi.

VI. DeFi’ga ishonch saqlanadimi?

Flashbots strategiya direktori, Lido strategik maslahatchisi Hasu shunday dedi: Balancer v2 2021-yilda ishga tushganidan beri eng ko‘p e’tibor qaratilgan va tez-tez fork qilinadigan aqlli kontraktlardan biri bo‘ldi. Bu juda tashvishli. Har safar uzoq vaqt ishlagan kontrakt hujumga uchraganda, DeFi qabul qilinish jarayoni 6-12 oyga orqaga suriladi (bu tabiiy holat).

Circuit asoschisi va bosh direktori Harry Donnelly: Balancer’ning ma’lumotlar sizib chiqishi DeFi ekotizimi uchun “jiddiy ogohlantirish”, Balancer “sohadagi eng ishonchli brendlardan biri”, “muvofiqlik madaniyatiga ega va qat’iy audit va ochiq oshkor qilishga asoslangan dastlabki kashshoflardan biri” deb ta’kidladi. Aynan shu ochiqlik Balancer’ga muvaffaqiyat keltirdi, lekin uni hujumlarga ham ochiq qildi. “Agar DeFi an’anaviy moliyani haqiqatan ham chaqirmoqchi bo‘lsa, faqat passiv ravishda zaifliklarni yamash va mablag‘larni muzlatish emas, balki faol chidamlilik va javob berish orqali jinoyatchilardan oldinda bo‘lishi kerak.”

OneSource asoschisi va bosh direktori Vladislav Ginzburg: “Aqlli kontraktlar va moliyaviy muhandislik DeFi investitsiya xavfining bir qismi. Shuning uchun aqlli kontrakt auditi juda muhim. Menimcha, Balancer zaifligi yangi paradigma emas, shuning uchun ishonch yoki xavf omillarini o‘zgartirmaslik kerak. Holat o‘zgarishsiz qoladi.”

Komodo platformasi bosh texnologiya direktori Kadan Stadelmann ham shunga o‘xshash fikr bildirdi, u asosiy DeFi foydalanuvchilari bunga qaramay to‘xtamaydi, biroq institutsional investorlar ta’sir ko‘rishi mumkinligini aytdi. “Aynan mana shunday DeFi sohasidagi xakerliklar institutsional va muqobil aktivlar investorlari toza bitcoin strategiyasiga o‘tishiga sabab bo‘lmoqda.”