Kerentanan kritis ing protokol tukar desentralisasi Balancer ngidini para penyerang nyalahgunakake kesalahan pembulatan ing mekanisme swap sing digabungake lan njupuk luwih saka $120 yuta.
Analisis nuduhake yèn logika sing cacat ing fungsi swap EXACT_OUT ora trep nggedhekake lan nyuda jumlah token ing sawatara langkah, saengeneka ana ketidakseimbangan saldo sing sithik banget sing akumulasi sajroning transaksi repetitif. Ketidakakuratan iki, kaya ngupas pecahan sen, kanthi sistematis didhudhuk dening peretas nganti kahanan ngasilake proteksi likuiditas sing ora cukup.
Serangan iki ditujokake marang kolam sing ngemot token kanthi presisi desimal sing beda-beda, kahanan iki ora dideteksi sanajan wis ana pirang-pirang audit keamanan. Sajrone batched trades, kode Balancer ngowahi jumlah input dadi representasi desimal 18 sadurunge ngitung rega, banjur mbalekake asil dadi desimal token asli. Ing sawetara kasus, langkah down-scaling pungkasan ngubah nilai munggah, menehi aset luwih marang inisiator swap. Kanthi ngatur high-frequency micro-swaps, penyerang ngasilake keuntungan kumulatif sing ngliwati wates slippage on-chain.
Sawisé ditemokake, tim Balancer ngeluarke laporan awal lan koordinasi karo validator blockchain lan operator node kanggo nglaksanakake langkah darurat. Ing Polygon lan Sonic, badan panguwasa ngetokake modul pembekuan kanggo ngunci kontrak kolam sing kena lan nyegah transfer metu. Pemangku kepentingan Berachain nyetujoni hard fork darurat kanggo mbalekake jendhela eksploit lan ngaktifake restitusi kanggo panyedhiya likuiditas. Intervensi iki negesake anaé tensi antara prinsip buku besar sing ora bisa diowahi lan respons krisis sing cepet ing ekosistem DeFi.
Insiden iki nglairake maneh debat babagan sentralisasi kontrol keamanan, kanthi para kritikus ngendika yen fungsi freeze lan hard forks nglawan etos"code is law". Panyengkuyung mbantah manawa alat panguwasa adaptif perlu kanggo nglindhungi pangguna ing lingkungan sing resiko dhuwur. Kerentanan Balancer negesake pentinge pemeriksaan penanganan desimal sing ketat lan nandhesake vektor serangan sing berkembang nggunakake kasus-kasus matematis ekstrem. Para pangembang protokol saiki ngupadi kerangka audit maneh lan nggabungake fuzz testing otomatis kanggo operasi desimal supaya ora ana eksploit mirip ing rilis mbesuk.
Komentar (0)