Sebuah kerentanan kritis dalam protokol pertukaran desentralisasi Balancer memungkinkan penyerang untuk mengekstraksi lebih dari $120 juta dengan mengeksploitasi kesalahan pembulatan pada mekanisme pertukaran berkelompok. Analisis menunjukkan bahwa logika yang cacat pada fungsi tukar EXACT_OUT secara tidak tepat membesar-besarkan dan menurunkan jumlah token di beberapa langkah, menciptakan ketidakseimbangan saldo yang sangat kecil yang terus terakumulasi melalui transaksi berulang. Ketidakseimbangan ini, seperti memotong pecahan sen, secara sistematis diuras oleh peretas hingga kondisi memicu perlindungan likuiditas yang tidak mencukupi.
Eksploitasi tersebut menargetkan kolam likuiditas yang berisi token dengan presisi desimal yang berbeda, sebuah skenario yang tidak terdeteksi meskipun telah dilakukan beberapa audit keamanan. Selama perdagangan berkelompok, kode Balancer mengonversi jumlah input menjadi representasi desimal 18 sebelum menghitung harga, lalu mengembalikan hasilnya ke desimal token asli. Dalam beberapa kasus, langkah penyusunan akhir membulatkan nilai ke atas, memberikan aset berlebih kepada pihak yang memulai swap. Dengan mengatur mikro-swap berfrekuensi tinggi, penyerang menghasilkan keuntungan kumulatif yang melewati batas slippage di rantai.
Setelah ditemukan, tim Balancer mengeluarkan laporan pendahuluan dan berkoordinasi dengan validator blockchain serta operator node untuk menerapkan langkah darurat. Di Polygon dan Sonic, badan pemerintahan memberlakukan modul pembekuan untuk mengunci kontrak kolam yang terdampak dan mencegah transfer keluar. Pemangku kepentingan Berachain menyetujui hard fork darurat untuk membatalkan periode eksploitasi dan memungkinkan restitusi bagi penyedia likuiditas. Intervensi ini menyoroti ketegangan yang berkelanjutan antara prinsip buku besar yang tidak dapat diubah dan respons krisis yang cepat di ekosistem DeFi.
Insiden ini telah membangkitkan kembali perdebatan tentang sentralisasi kendali keamanan, dengan para kritikus berpendapat bahwa fungsi pembekuan dan hard fork bertentangan dengan etos 'kode adalah hukum'. Para pendukung berpendapat bahwa alat tata kelola yang adaptif diperlukan untuk melindungi pengguna di lingkungan berisiko tinggi. Kerentanan Balancer menekankan pentingnya pemeriksaan penanganan desimal yang ketat dan menyoroti vektor serangan yang berkembang yang memanfaatkan kasus tepi matematika. Pengembang protokol kini meninjau ulang kerangka audit dan mengintegrasikan pengujian fuzz otomatis untuk operasi desimal guna mencegah eksploit serupa pada rilis mendatang.
Komentar (0)