Sejenis kerentanan kritikal dalam protokol pertukaran terdesentralisasi Balancer membolehkan penyerang mengeluarkan lebih daripada $120 juta dengan mengeksploit ralat pembundaran dalam mekanisme pertukaran berkelompok. Analisis menunjukkan logik yang cacat dalam fungsi pertukaran EXACT_OUT secara tidak tepat menaikkan dan menurunkan jumlah token dalam beberapa langkah, mencipta ketidakseimbangan baki yang sangat kecil yang terkumpul melalui transaksi berulang. Ketidakseimbangan ini, seperti potongan pecahan sen, telah dikuras secara sistematik oleh penggodam sehingga syarat-syaratnya mengaktifkan langkah-langkah perlindungan likuiditi yang tidak mencukupi.
Serangan itu mensasarkan kolam yang mengandungi token dengan ketepatan perpuluhan yang berbeza, satu senario yang tidak dikesan walaupun melalui beberapa audit keselamatan. Semasa perdagangan berkelompok, kod Balancer menukar jumlah input kepada representasi perpuluhan 18 sebelum melaksanakan pengiraan harga, kemudian mengembalikan hasil kepada perpuluhan token asli. Dalam sesetengah kes, langkah penurunan terakhir membundarkan nilai ke atas, memberikan aset berlebihan kepada pelaku swap. Dengan menyusun micro-swaps berfrekuensi tinggi, penyerang menjana keuntungan kumulatif yang mengatasi had slippage pada rantaian blok.
Apabila ditemui, pasukan Balancer mengeluarkan laporan awal dan berkoordinasi dengan pengesah blockchain dan operator nod untuk melaksanakan langkah kecemasan. Di Polygon dan Sonic, badan tadbir urus meluluskan modul pembekuan bagi mengunci kontrak kolam yang terjejas dan menghalang pemindahan keluar. Pihak berkepentingan Berachain meluluskan fork keras kecemasan untuk membalikkan jendela eksploit dan membolehkan pemulihan bagi penyedia likuiditi. Intervensi ini menekankan ketegangan berterusan antara prinsip lejar yang tidak boleh diubah dan respons krisis yang pantas dalam ekosistem DeFi.
Insiden itu telah membangkitkan semula perdebatan mengenai pemusatan kawalan keselamatan, dengan pengkritik berhujah bahawa fungsi pembekuan dan fork keras bertentangan dengan etos 'kod adalah undang-undang'. Penyokong berpendapat bahawa alat tadbir urus yang adaptif diperlukan untuk melindungi pengguna dalam persekitaran berisiko tinggi. Kerentanan Balancer menekankan kepentingan semakan pengendalian perpuluhan yang ketat dan menonjolkan vektor serangan yang berkembang yang memanfaatkan kes tepi matematik. Pembangun protokol kini meninjau semula rangka kerja audit dan mengintegrasikan ujian fuzz automatik untuk operasi perpuluhan bagi mencegah eksploit serupa dalam keluaran akan datang.
Komen (0)