Balancer mərkəzsiz dəyişdirmə protokolundakı kritik zəiflik hücumçuların toplu dəyişdirmə mexanizminin yuvarlama səhvindən istifadəsi sayəsində 120 milyon dollardan çox məbləğ çıxarmasına imkan verdi.
İstismar müxtəlif onlu dəqiqliyə malik tokenləri ehtiva edən hovuzları hədəflədi; bu vəziyyət bir çox təhlükəsizlik auditi ilə aşkarlanmadı. Toplu əməliyyatlar zamanı Balancer-in kodu qiymət hesablamalarını yerinə yetirmədən əvvəl giriş məbləğlərini 18-li onlu təmsilçiliyə çevirir, sonra nəticələri native tokenin desimal dəyərinə qaytarır. Bəzən son kiçildmə addımı dəyərləri yuxarı yuvarlayaraq dəyişdirmə təşəbbüskarı üçün artıq aktivlər verir. Yüksək tezlikli mikro-swaplar təşkil edərək hücumçu zəncirdəki sürüşmə limitlərini aşan kümülatif gəlirlər əldə etdi.
Tapıldıqda Balancer komandası ilkin hesabat yayımladı və blokçeyn təsdiqləyiciləri və düyün operatorları ilə əməkdaşlıq edərək fövqəladə tədbirlər tətbiq etdi. Polygon və Sonic-də idarəetmə qurumları zərər görən hovuz müqavilələrini kilidləmək və çıxış transferlərini dayandırmaq üçün freeze modullarını tətbiq etdilər. Berachain paydaşları likvidlik təminatçılarına təzminat vermək üçün və sui-istifadə pəncərəsini geri almaq üçün fövqəladə sərt fork-u təsdiqlədilər. Bu müdaxilələr DeFi ekosistemlərində dəyişməz qeyd prinsipləri ilə sürətli fövqəladə hallar reaksiya arasındakı davam edən gərginlikləri vurğulayır.
Hadisə təhlükəsizlik nəzarətinin mərkəzləşdirilməsi ilə bağlı müzakirələri yenidən qızışdırdı; tənqidçilər freeze funksiyaları və sərt forkların “kod qanundur” fəlsəfəsinə zidd olduğunu bildirdilər. Qəbul edənlər isə yüksək riskli mühitlərdə istifadəçiləri qorumaq üçün adaptiv idarəetmə alətlərinin zəruri olduğunu deyirlər. Balancer-in zəifliyi onluq dəyərin dəqiq işlənməsinə dair ciddi yoxlamaların vacibliyini bir daha göstərir və riyazi kənar hallarını istismar edən hücum vektorlarının inkişafdığını vurğulayır. Protokol inkişaf etdiriciləri indi audit çərivələrini yenidən nəzərdən keçirməkdə və gələcək nəşrlərdə oxşar sui-istifadələrin qarşısını almaq üçün onluq əməliyyatlar üçün avtomatlaşdırılmış fuzz testlərini inteqrasiya etməkdədirlər.
Şərhlər (0)