Kritična ranljivost v protokolu Balancer decentralizirane borze je omogočila napadalcem, da pridobijo več kot 120 milijonov dolarjev z izkoriščanjem napake pri zaokroževanju v mehanizmu združenih zamenjav. Analiza kaže, da nepravilna logika v funkciji zamenjave EXACT_OUT nepravilno povišuje in znižuje zneske žetonov skozi več korakov, kar je ustvarilo drobna neravnovesja stanja, ki so se nabirala pri ponavljajočih transakcijah. Te razlike, podobne obrezovanju delcev centa, jih je heker sistematično izčrpal, dokler pogoji niso sprožili neustrezne zaščite pred likvidnostjo.
Ranljivost je bila usmerjena na poole, ki vsebujejo žetone z različnimi decimalnimi natančnostmi, kar je ostalo neopaženo kljub več varnostnim revizijam. Med združenimi trgovanji je Balancerjeva koda pretvorila vnose v 18-decimalno predstavitev, preden je izvedla izračune cen, nato pa je rezultate vrnila v nativne decimalne mere žetonov. V nekaterih primerih je zadnji korak znižanja navzgor zaokrožil vrednosti, s čimer je presežna sredstva pripadla iniciatorju zamenjave. Z organizacijo zelo frekvenčnih mikro-zamenjav je napadalec ustvaril kumulativne dobičke, ki so presegli omejitve slippage na verigi.
Ob odkritju je ekipa Balancerja izdala prelimarno poročilo in sodelovala z validatorji verige in operaterji vozlišč pri uvedbi nujnih ukrepov. Na Polygonu in Sonicu so upravljavski organi uvedli zamrznitve modulov, da zaklenejo prizadete pogodbe skupin in preprečijo odhodne prenose. Berachain deležniki so odobrili nujni trdi fork, da povrnemo časovno okno izkoriščanja in omogočimo povračilo likvidnostnim ponudnikom.
Te intervencije poudarjajo nenehne napetosti med načeli neizbrisljivega registra in hitrim kriznim odzivom v DeFi-ekosistemih. Incident je ponovno razburil razprave o centralizaciji varnostnih kontrol, pri čemer trdijo, da funkcije zamrzovanja in trdi fork nasprotujejo etosu “koda je zakon”. Zagovorniki pa opozarjajo, da so prilagodljiva orodja upravljanja potrebna za zaščito uporabnikov v visokorizičnih okoljih. Ranljivost Balancerja poudarja pomen temeljitega preverjanja decimalne obdelave in izpostavlja razvoj napadalnih poti, ki izkoriščajo matematične robne primere. Razvijalci protokolov se zdaj znova posvečajo revizijskim okvirjem in uvajajo avtomatizirano fuzz testiranje decimalnih operacij, da preprečijo podobna izkoriščanja v prihodnjih različicah.
Komentarji (0)