으로 Frank, PANews
11 월 3 일, DeFi 세계의 하늘이 열리고 있었다. 오래된 DeFi 계약 Balancer는 펀드의 이상적으로 큰 전송이 있습니다. 그 후, 전체 산업은 실시간 재해를 목격, $70 백만에서 원래 보고 된 손상된 자금과 함께 $116.6 만, 궁극적으로 $128.64 백만의 경보 그림에 안정화。
엄청난 양의 손상 뒤에는 Balancer V2 계약은 27 “ 포크 오프 계약 ” 그리고 그들은이 긴 걸음 루프홀에 의해 구성 된 체계적인 위험에 똑같이 노출된다。
밸런스 V2 해킹 및 $128 만 도난
11 월 3 일, 체인에 보안 회사 방패는 Balancer V2 vault에 특이한 전송을 공지했습니다. 많은 WETH 및 유량 기반 파생물 (wstETH, osETH)는 새로운 지갑으로 전송되었습니다。
따라서, 균형 팀은 신속하게 체인 공격을 받았고, 체인이 계속 모니터링되기 때문에, 결국 손상의 양은 $ 128 백만에 도달했다. Balancer 팀에 따르면 공격의 범위는 안정제 V2에 제한되었습니다. 그것의 더 새로운 V3 건축술 및 다른 V2 수영장 유형 (예를들면 무게 수영장)는 영향을 미치지 않습니다。
11 월 4 일부터 Balancer 팀은 아직 공격에 대한 특정 이유를 공개했습니다. 그러나, 다양한 보안 회사 및 체인 분석의 분석에 따라, 공격의 루트는 하나의 “ 결함 액세스 제어 체크 ” 및 부분 액세스 제어 체크。
assailant는 V2 프로토콜의 manageUserBalance 함수를 호출하여 vault에 악성 구성 명령을 보냈습니다. 이 지침은 “ 계약은 큰 수수료 ” 및 “ 수수료의 소유권은 assailant ” Subsequently에 속한다, 공격자는 일반 인출 요구 사항을 사용하여 자신의 계정에 자산의 양을 전송。
기술적인 관점에서, 공격의 완료는 계약의 논리적 루프홀의 CLEVER 사용을 만드는 공격자에 대해 기술 기능에 대해 너무 많이 없었다. 분석가에 따르면, 해커는 공격 중에 제어 데스크 로그를 왼쪽하고, 습관의 흔적의 빛에서, 그것은 해커 개발 및 검토 코드를 사용 하는 큰 AI 모델을 사용 했다, 따라서 인간의 감사자의 누락 된 부족을 식별。
27 지게차 계약 “ lying gun ” 및 체인의 비상 조치의 시작
업계는 균형 V2가 4 개의 다른 보안 회사 인 OpenZeppelin, Bits, Certora 및 ABDK의 Trail, Certora 및 ABDK의 11 감사 후이 루프홀을 식별 할 수 없다는 사실에 의해 진정으로 실망했습니다。
대부분의 철적으로,이 특정 구성 요소 & ldquo; 안정 풀 & rdquo; (Composable Stable Pool)은 Certora와 9 월 2022의 비트 트레일에 의해 특별히 감사되었습니다。
몇 년 동안 라인에 있었던 DeFi 계약으로 시장 테스트 된 것으로 나타났습니다. Balancer V2 계약은 27 &ldquo까지 템플릿으로 개발되었습니다. 포크 계약 ” 그들은 모두 Balancer V2의 논리 루프홀을 상속했습니다. 해커의 경우, 루프홀은 동시에 동일한 결함 코드를 가지고있는 &ldquao의 볼트를 열 수있는 보편적 인 키의 소유와 같습니다。
사실,이 해커 공격은 체인에 확산. 이 중, ETA 네트워크의 Balancer V2 (주요 계약)은 가장 고통 받고, $ 100 백만의 예상 손실. 이것은 Berachain BEX 계약에 따라 12.86 백만의 손실을 초래할 수 있었다. 또한 Arbitrum, Base 및 Sonic와 같은 7 링크 계약은 공격에 영향을 미쳤습니다。
업계는이 catastrophe의 얼굴에 dilemma를 직면 : 그것은에 주장해야한다 & ldquo; 코드 ” 동심 기본; 및 사용자 자금 도난을 시청? 또는 사용자를 보호하기 위해 중앙 개입이 있습니까
Berachain, 최악의 영향을받은, 가장 급진하고 논쟁적인 결정을했다 : 검증 노드를 조정하고 전체 네트워크를 중단. 다시 회전함으로써 Berachain은 BEX Exchange의 위험에 $ 12 백만 이상의 자산을 저장했습니다。
물론, 이것은 일부 질문과 함께 지역 사회 논쟁으로 인해 발생했습니다. &ldquao; &lsquao; 체인 &rsquao; 궁극적 인 안전? 이제 공개 블록 체인보다 개인 체인처럼 더 좋아합니까? & rdquo; 응답, Berachain의 익명 공동 설립자, Bera를 연기, 대답: “ 나는 당신의 관심사가 합리적 생각하지만, 나는 매우 극단적 인 상황은 특별한 의미 — & mdash; 우리는 Sui와 Hyperliquid와 같은 경우에 과거에 비슷한 관행을 보았다. ·;
대부분의 커뮤니티 회원은이 결정을 지원, 모든 후, 힘든 풀의 부정적인 영향은 “ 탈중앙화 ” 그리고 믿음보다 훨씬 더 높을 수 있습니다。
소닉 체인은 &ldquo을 활성화; 체인 계정 냉동 메커니즘 ” 그리고, 네트워크 중지없이, 공격자의 ' 지갑을 잠그고 $ 3.4 백만 자신의 자금. Polygon의 인증 노드는 활성 “ 리뷰 ” 공격자의 주소로부터 거래。
다수의 누출이 있었고 TVL의 뒤는 신뢰의 위기를 유발했습니다
Balancer '개발의 역사도, 사실, 복잡한 논리 루프홀과 일정한 경쟁 중 하나입니다. Previously, Balancer는 2020 년과 2025 년 사이에 적어도 5 개의 누출의 누적 수와 여러 경우에 해커 공격에 적용되었습니다. 이 공격은 가장 가벼운 공격에서 더 복잡한 V2로 풀에 강화된 구멍에 이르기까지 다양합니다。
이전의 경우, 그러나, 손상의 금액은 약 US $ 수백의 수천에서 US $ 2 백만의 범위에있었습니다. Balancer의 경우,이 과거의 공격은 격차를 닫는 기회가 더 많습니다. 이 tragedy는 수십억 달러의 비용이 소요될 것으로 예상되며, 직접 Balancer의 시장의 신뢰와 신뢰를 얻었다。
Defillama에 따르면, 공격 후, Balancer 's TVL은 $776 백만에서 $345 백만으로 직접 떨어졌다, 절반 이상 감소. 특히, Balancer V2는 TVL에서 $ 230 백만의 직접적인 감소를 보았으며, Balancer V2는 또한 풀에서 꺼내서 Gaming DEX의 TVL가 1 일 동안 87 퍼센트로 떨어지며 베테스 DEX의 48 퍼센트로 나옵니다。
Lido는 또한 Lido 계약이 영향을받지 못했지만주의적인 고려 사항으로 인해 비공식적 인 Balancer 포지션을 인출했습니다。
실제로, Gaming DEX와 같은 지게차 계약은 실제로 영향을받지 않았기 때문에 보안상의 이유로 대부분의 자금을 인출해야합니다。
DeFi 계약의 경우, 신뢰는 금보다 더 중요합니다, 특히 반복 공격의 역사적인 상황에. 공식 공개에 따라 4 11 월, StarkWise DAO는 멀티 서명 계약을 통해 해커에서 $ 20 백만 이상을 회복했습니다. 이것은 또한 $ 98 백만에 손상된 금액을 감소했습니다. 동시에 해커 자산의 전송은 여전히 진행되고 절반 이상이 ETH로 교체되었습니다。
이 $128 백만 공격은 DeFi의 성장에 비용으로 필수 과정이되었으며 심각한 질문을 제기했습니다
1개 언제 “ 금 표준 ” 11 감사는 2 년 동안 지방 루프홀을 감지 할 수 없었다, “ 감사 ” 무엇을 의미합니까
언제 “ 코디 감염성 질병 ” 정상이되고, 기본 계약의 반복은 27 파생 계약을 즉시 파괴 할 수 있습니다, 혁신 또는 저주의 DeFi 's 조합은
3개 신흥 체인이 &ldquo에 강제 될 때; 분산 된 ” 및 “ 사용자를 저장 ” 사이를 선택, “ 코드 &rdquao; &ldquo에 이상적인 주어진 방법이; 실용적으로 중앙 집중화 &rdquo
미래에, DeFi의 보안은 더 이상 감사에 의존하지 않을 수 있지만, 오히려 단순하고 더 강력하고 근본적으로 덜 공격적 인 계약의 디자인에. 이 행사의 신뢰와 자본을 잃은 사람들을 위해, 이 현실화의 비용은 거대합니다。