Na vulnerabbilità critica ntô protokollu di scambiu decentralizatu Balancer permisià ê attaccanti di pigghiàrisi cchiù di $120 milioni sfruttannu nu sbagghiu di arrotondamentu ntô meccanismu di scambi in lotti. L’analisi dici ca la logica difettusa ntâ funzione di scambiu EXACT_OUT avìa aghiuntatu e abbissatu li quantità di token ntê passaggi multipli, crìannu minimi squilibrii di bilanciu ca si accumulàru cu li transazzioni ripetuti. Ste discrepanzi, comu frazioni di centesimu ca si ponnu diri comu na perdita minuta, foru drenati sistematicamenti dû hacker finu a ca li cundizzioni attivarunu insufficienza di liquidità.
Lu sfruttamentu miratu a pool ca cuntenìanu token cu decimali differenti, na scenarìu ca passà senza essiri notatu annanti a multî audit di securizza. Duranti li scambi in lotti, lu codice di Balancer convertì li quantità d'ingressu a na rappresentazioni di 18 decimali prima di eseguirì li calculi di prezzo, poi riturnava li risurtati a li decimali nativi di token. Ntê casi certi, l’ùrtima fasa di abbassamentu arrotondava li valori verso l’alto, conferennu asset in eccessu all'iniziaturi dû scambiu. Attraversu micro-scambi ad alta frequenza, l'attaccanti generò guadagni cumulativi ca superàvanu li limiti di slippage on-chain.
Quannu fu scuvertu, lu team di Balancer pubblicò nu rapportu preliminari e si coordinaru cù li validatori di blockchain e li operatori di nodi pi implementari misuri d’emergenza. Ntô Polygon e Sonic, li corpi di governance appruvàru moduli di freeze pi bloccare li cuntratti di pool affettati e intercettari li trasferimenti in uscita. Li parti interessate di Berachain appruvàru na emergency hard fork pi ritirari la finestra dû sfruttamentu e permettiri la risturazioni di li fornitori di liquidità.
Sti interventi mettinu in risaltu li tensioni ca continuanu tra li principii di registru immutabili e na risposta rapida a li crisi ntê ecosistemi DeFi. Stu incidenti ha riacceso i dibatti supra la centralizzazioni di li controlli di securizza, cu criticì ca sustènunu ca li funzioni di freeze e li hard forks contraddìcinu l’ethos “u codice è legge”. I prupunenti risponnunu ca li strumenti di governance adattativa sunnu nicissari pi prutèggiri li utenti ntê ambienti di risku elevatu. La vulnerabilità di Balancer sottolinea l’impurtanza di controlli rigurusi di gestioni di li decimali e evidenzià li vettori d’attaccu ca stannu evolvì sfruttannu casi estremi di matematica. Li sviluppatori di protokolli ora rivisitanu li quadri di audit e integranu test fuzz automaticu pi decimali pi prevèniri sfruttamenti simili ntê futuri rilasci.
Cummenti (0)