Balancer децентрализденген айырбас протоколындағы маңызды осалдыққа байланысты шабуылшылар пакеттелген айырбас механизміндегі дөңгелектеу қателігін пайдаланып 120 миллион доллардан астам қаражатты шығаруға мүмкіндік алды. Талдау көрсеткендей EXACT_OUT айырбас функциясындағы бұрыс логика бірнеше қадам бойынша токен мөлшерін дұрыс емес түрде жоғарылап және төмендетіп, қайталанатын операциялар арқылы өте кіші теңгерім ауытқуларын жинақтады. Бұл айырмашылықтар, центтің бөлшектерін сығуға ұқсас, хакер тарапынан жүйелі түрде босатылып, жеткіліксіз ликвидтілікті қорғау шаралары іске қосылғанша жалғасты.
Бұл эксплойт әртүрлі ондық дәлдікке ие токендерді қамтитын пулдарға бағытталған, бірнеше қауіпсіздік аудиттері кезінде де байқалмаған жағдай. Батчталған сауда кезінде Balancer-дің коды кіріс мөлшерлерін 18-дік ондық көрінісіне түрлендіріп, баға есептерін орындағаннан кейін нәтижелерді бастапқы токеннің ондық дәлдігіне қайта әкелді. Кей жағдайларда соңғы төмендету қадамы мәндерді жоғары айналдырып, айырбас бастамашысына артық активтер беріп отырды. Жоғары жиілікті микро-айырбастар ұйымдастырылған кезде шабуылдаушы желідегі слippage лимиттерін айналып өтіп, жиынтық пайда жасады.
Табылған кезде Balancer командасы алдын ала есеп-қисапты жариялап, блокчейн валидаторлары және түйін операторларымен бірге төтенше шараларды іске қосты. Polygon және Sonic-де басқару органдары зақымдалған пул келісімшарттарын бұғаттап, шығатын аударымдарды тоқтату үшін freeze модульдерін енгізді. Berachain тараптары осалдық ашылу мерзімін кері қайтаруға және ликвидті провайдерлерге өтемақы төлеуге мүмкіндік беретін төтенше қатты форкқа келісім берді. Бұл шаралар immutable ledger қағидалары мен DeFi экожүйелеріндегі тезірек кризиске жауап беруге қатысты тұрақсыздық мәселелерін көрсетеді.
Оқиға қауіпсіздік бақылауларын орталықтандыру мәселелерін қайта талқылауға түрткі болды: сыни көзқараста freeze функциялары мен қатты форк “код — заң” ұстанымына қайшы келеді дейді. Алға ұмтылғандар адаптивті басқару құралдары жоғары тәуекел аймақтарында пайдаланушыларды қорғау үшін қажет екенін айтады. Balancer-дің осалдығы ондық өңдеудің мұқият тексерілуінің маңыздылығын көрсетеді және математикалық шекара жағдайларын пайдаланатын жаңа шабуыл бағыттарын көрсетеді. Протокол әзірлеушілері аудиттік рамкаларды қайта қарап, болашақ релиздерде ұқсас эксплойттарды болдырмау үшін ондық операцияларды автоматтандырылған fuzz-тестілеуді енгізуді қарастырады.
Пікірлер (0)