Balancer hak od 120 miliona dolara iskoristio je grešku zaokruživanja preko različitih lanaca

Kritična ranjivost u Balancerovom protokolu decentralizovane berze omogućila je napadačima da izvuku više od 120 miliona dolara iskorišćavajući grešku u zaokruživanju u mehanizmu grupnih zamena. Analiza ukazuje da je loša logika u funkciji EXACT_OUT zamene nepravilno povećavala i smanjivala iznose tokena kroz više koraka, stvarajući sitne neravnoteže stanja koje su se nakupile tokom ponovljenih transakcija. Ove diskrepancije, nalik brisanju delova centa, su sistematski iscrpljene od strane hakera sve dok uslovi nisu izazvali nedostatak likvidnosti.

Napad je ciljao poolove koji sadrže tokene sa različitim decimalnim preciznostima, scenario koji nije otkriven uprkos višestrukim sigurnosnim revizijama. Tokom zamena u grupama, Balancer-ov kod konvertovao je ulazne iznose u 18-decimalnu reprezentaciju pre izvođenja proračuna cena, a zatim vratio rezultate u nativne decimalne preciznosti tokena. U nekim slučajevima, završni korak smanjenja naviše zaokružio je vrednosti, dajući višak sredstava inicijatoru zamene. Organizovanjem mikro-zamena visoke frekvencije, napadač je generisao kumulativne dobitke koji su zaobišli ograničenja klizanja na lancu.

Po otkrivanju, Balancer tim je izdao preliminarni izveštaj i koordinisao sa validatorima blokčejna i operaterima čvorova kako bi sproveli hitne mere. Na Polygonu i Sonic-u, upravljačka tela su usvojila module zamrzavanja da bi zaključala pogođene pool ugovore i presrela odlazne transfere. Berachain zainteresovane strane odobrile su hitan hard fork kako bi vratio prozor iskorišavanja i omogućio restituciju pružaocima likvidnosti. Ove intervencije naglašavaju trajne tenzije između principa nepokolebljivog glavnog zapisa i brzog odgovora na krize u DeFi ekosistemima.

Incident je ponovo pokrenuo rasprave o centralizaciji sigurnosnih kontrola, s kritičarima koji tvrde da funkcije zamrzavanja i hard fork-ovi protivrede etosu „kod je zakon“. Zagovornici uzvraćaju da su prilagodljivi alati upravljanja neophodni za zaštitu korisnika u visoko rizičnim sredinama. Ranljivost Balancer-a naglašava značaj rigoroznih provera rukovanja decimalima i ukazuje na rastuće napadačke vektore koji koriste matematičke rubne slučajeve. Programeri protokola sada preispituju okvire revizije i integrišu automatizovano fuzz testiranje za decimalne operacije kako bi sprečili slične eksploite u budućim izdanjima.