En kritisk sÄrbarhet i Balancers decentraliserade börsprotokoll möjliggjorde att angripare kunde fÄ ut mer Àn 120 miljoner dollar genom att utnyttja ett avrundningsfel i den batchade swap-mekanismen. Analys visar att den felaktiga logiken i EXACT_OUT-swap-funktionen felaktigt uppskalade och nedskalade tokenbelopp över flera steg, vilket skapade mikroskopiska balansobalanser som byggdes upp genom upprepade transaktioner. Dessa avvikelser, liknande att hyvla bort brÄkdelar av en cent, tömdes systematiskt av hackaren tills villkoren utlöstes otillrÀckligt likviditetsskydd.
Exploitet riktade sig mot pooler som innehöll tokens med olika decimalprecisioner, ett scenario som förblev oupptÀckt trots flera sÀkerhetsrevisioner. Under batchade affÀrer omvandlade Balancer-koden inmatningarna till en 18-decimals-representation innan prisberÀkningar genomfördes, och Äterförde sedan resultaten till tokenernas egna decimaler. I vissa fall rundades den sista nedskalningen uppÄt, vilket gav överskott av tillgÄngar till swap-initieraren. Genom att organisera högfrekventa mikro-swaps kunde hackaren generera kumulativa vinster som gick förbi on-chain slippage-grÀnser.
NÀr det uppdagades utfÀrdade Balancer-teamet en preliminÀr rapport och samordnade med blockkedjevÀrdar och nodoperatörer för att genomföra nödlösningar. PÄ Polygon och Sonic antog styrorgan frysningsmoduler för att lÄsa berörda poolkontrakt och avbryta utgÄende överföringar. Berachain-intressenter godkÀnde en nödhÄrd fork för att ÄterstÀlla exploateringsfönstret och möjlighet ersÀttning för likviditetsleverantörer. Dessa ingripanden belyser pÄgÄende spÀnningar mellan principen om oförÀnderlig huvudbok och snabb krishantering i DeFi-ekosystemen.
Incidenten har ÄtervÀckt debatter om centraliseringen av sÀkerhetskontroller, dÀr kritiker hÀvdar att frysningsfunktioner och hÄrda forks stÄr i strid med ethosen"koden Àr lagen". FöresprÄkarna menar att adaptiva styrningsverktyg Àr nödvÀndiga för att skydda anvÀndare i miljöer med hög risk. Balancers sÄrbarhet understryker vikten av noggranna kontroller av decimalhantering och belyser utvecklande angreppsvÀgar som utnyttjar matematiska kantfall. Protokollutvecklare gÄr nu igenom revisionsramverk och integrerar automatiserad fuzz-testning för decimaloperationer för att förebygga liknande exploater i framtida versioner.
Kommentarer (0)