Karya Frank, PANews
Pada 3 November, langit dunia DeFi terbuka. Imbangan perjanjian DeFi lama memiliki transfer dana yang besar secara abnormal. Pada jam-jam berikutnya, seluruh industri menyaksikan bencana real-time, dengan dana yang rusak meningkat dari $ 70 juta yang awalnya dilaporkan menjadi $116,6 juta, akhirnya stabil pada angka mengkhawatirkan sebesar $128,64 juta。
Di balik sejumlah besar kerusakan adalah fakta bahwa perjanjian Balancer V2 memiliki sebanyak 27 “ perjanjian fork-off ” dan mereka sama-sama terkena risiko sistemik yang ditimbulkan oleh celah mematikan ini lama berdiri。
Imbangan Imbangan V2 digores dan $128 juta dicuri
Pada tanggal 3 November, perisai perusahaan keamanan di rantai melihat transfer luar biasa ke lemari besi V2 Balancer. Sejumlah besar terbitan WETH dan berbasis aliran (wstETH, osETH) dipindahkan ke dompet baru。
Selanjutnya, tim Balancer dengan cepat mengkonfirmasi bahwa telah terjadi serangan berantai dan bahwa, karena rantai terus dipantau, jumlah kerusakan akhirnya dihitung telah mencapai $128 juta. Menurut tim penyeimbang, jangkauan serangan dibatasi untuk V2 menyusun stabilizer. Arsitektur V3 yang lebih baru dan tipe kolam V2 lainnya (misalnya kolam berat) tidak terpengaruh。
Sebagai 4 November, tim penyeimbang belum mengungkapkan alasan spesifik untuk serangan. Namun, menurut analisis dari berbagai perusahaan keamanan dan analis rantai, akar serangan adalah satu “ pemeriksaan kontrol akses cacat ” dan pemeriksaan kontrol akses parsial。
Si penyerang mengirim instruksi jahat yang dibangun ke lemari besi dengan memanggil fungsi manajerUserBalance dari protokol V2. Direktif defrauded buku internal perjanjian untuk meyakinkan mereka bahwa “ perjanjian hanya dikenakan biaya besar ” dan “ kepemilikan biaya milik penyerang ” Selanjutnya, penyerang mentransfer sejumlah besar aset ke rekening mereka sendiri menggunakan persyaratan penarikan normal。
DARI SUDUT PANDANG TEKNIS, PENYELESAIAN SERANGAN TIDAK BEGITU BANYAK MENGENAI KAPABILITAS TEKNIS SEPERTI HALNYA TENTANG PENYERANG MEMBUAT PENGGUNAAN CERDIK DARI CELAH LOGIS DALAM PERJANJIAN. MENURUT ANALIS, PARA PERETAS MENINGGALKAN CATATAN MEJA KONTROL MEREKA SELAMA SERANGAN DAN, DALAM CAHAYA JEJAK KEBIASAAN, KEMUNGKINAN BESAR PERETAS TELAH MENGGUNAKAN MODEL AI BESAR UNTUK MENGEMBANGKAN DAN MENINJAU KODE, SEHINGGA MENGIDENTIFIKASI KEKURANGAN YANG HILANG DARI AUDITOR MANUSIA。
liar pistol ” dan mulai-up tindakan darurat di rantai
Industri ini benar-benar kecewa dengan fakta bahwa Balancer V2 belum mampu mengidentifikasi celah ini setelah 11 audit dari empat perusahaan keamanan yang berbeda: OpenZeppelin, Trail of Bits, Certora dan ABDK。
Secara ironis, komponen khusus ini dari & ldquo; Stable Pool & rdquo; (Composable Stable Pool) secara khusus diaudit oleh Certora dan Trail of Bits pada September 2022。
Sebagai perjanjian DeFi yang telah berada di jalur selama bertahun-tahun dan tampaknya telah diuji pasar, perjanjian Imbangan V2 telah berkembang sebagai templat hingga 27 “ Fork Agreement ” dan mereka semua mewarisi celah logis dari Balancer V2. Bagi para hacker, celah itu seperti kepemilikan kunci universal yang dapat membuka brankas &ldquao, yang memiliki kode cacat yang sama setiap saat。
Bahkan, serangan hacker ini telah menyebar sampai ke rantai. Dari jumlah ini, Balancer V2 (Main Agreement) dari jaringan ETA paling menderita, dengan perkiraan kerugian sebesar $100 juta. Ini diikuti oleh perjanjian Berachain BEX, yang dapat mengakibatkan kerugian sebesar $12,86 juta. Selain itu, perjanjian tujuh-talian, seperti Arbitrum, Base dan Sonic, terkena dampak serangan tersebut。
industri ini menghadapi dilema dalam menghadapi bencana ini: haruskah ia bersikeras pada & ldquo; kode ” fundamentalisme desentris; dan menonton dana pengguna dicuri? atau, apakah ada campur tangan pusat untuk melindungi pengguna
Andordinaris Berachain, yang paling parah terpengaruh, mengambil keputusan yang paling radikal dan kontroversial: mengkoordinasikan node validasi dan menangguhkan seluruh jaringan. Dengan berguling kembali, Berachain menyelamatkan lebih dari $ 12 juta aset dengan risiko di Bursa BEX。
Tentu saja, ini telah pasti menimbulkan kontroversi komunitas, dengan beberapa pertanyaan: &ldquao; akan ini tidak sepenuhnya melemahkan Anda &lsquao; rantai &rsquao; akhir dan keselamatan? Sekarang ini lebih seperti rantai pribadi daripada rantai blok publik? rdquo & rdquo; sebagai tanggapan, co-founder Berachain anonim, Saya pikir kekhawatiran Anda masuk akal, tapi saya percaya bahwa keadaan yang sangat ekstrem membutuhkan arti yang luar biasa & mdash; & mdash; kita telah melihat praktek serupa di masa lalu dalam kasus seperti Sui dan Hyperliquid. ”
sebagian besar anggota komunitas mendukung keputusan ini, setelah semua, dampak negatif dari kolam pekerja keras dapat jauh lebih besar daripada apa yang disebut “ proverization ” dan iman。
Rantai Sonic mengaktifkan “ mekanisme pembekuan akun rantai ” dan, tanpa menghentikan jaringan, mengunci dompet penyerang dan $ 3,4 juta dalam dana mereka. Node sertifikasi Poligonia dimulai aktif “ ulasan ” transaksi dari alamat penyerang。
ADA SEJUMLAH KEBOCORAN, DAN TVL KEMBALI TELAH MEMICU KRISIS KEPERCAYAAN
Imbangan Imbangan ' s sejarah pembangunan juga, pada kenyataannya, salah satu kompetisi konstan dengan celah logika kompleks. Sebelumnya, Balancer pernah terkena serangan hacker pada beberapa kesempatan, dengan jumlah kumulatif setidaknya lima kebocoran antara 2020 dan 2025. Serangan-serangan ini berkisar dari serangan kilat terawal hingga V2 yang lebih kompleks ke lubang yang ditingkatkan di kolam renang。
Namun, pada kasus-kasus sebelumnya, jumlah kerusakannya telah mencapai sekitar US$ ratusan ribu hingga US $ 2 juta. Untuk penyeimbang, serangan masa lalu ini lebih merupakan kesempatan untuk menutup celah. Tragedi ini, yang diperkirakan telah memakan biaya miliaran, telah secara langsung melemahkan kepercayaan dan kepercayaan pasar dalam keseimbangan。
Menurut Defillama, setelah serangan, Balancer ' s TVL jatuh langsung dari $776 juta menjadi $ 345 juta, pengurangan lebih dari setengah. Khususnya, Balancer V2 melihat pengurangan langsung $230 juta di TVL, dan Balancer V2 juga mundur dari kolam renang, dengan Gaming DEX TVL jatuh sebanyak 87 persen dalam satu hari dan Beets DEX sebesar 48 persen。
Ia juga menyatakan bahwa, meskipun perjanjian Lido belum terpengaruh, karena pertimbangan yang cermat, ia telah menarik kembali posisi Imbangan yang tidak terpengaruh。
Sesungguhnya, perjanjian forklift seperti Gaming DEX juga setelah kejadian itu menunjukkan bahwa mereka sebenarnya tidak terpengaruh, sekadar menarik sebagian besar dana karena alasan keamanan。
Untuk perjanjian DeFi, kepercayaan lebih penting daripada emas, terutama dalam konteks sejarah serangan berulang. Seperti pada 4 November, menurut pengungkapan resmi, Starkwise DAO telah pulih lebih dari $ 20 juta dari hacker melalui kontrak multi-signatory. Ini juga mengurangi jumlah yang rusak menjadi $98 juta. Pada saat yang sama, transfer aset hacker masih berlangsung dan lebih dari setengah telah diganti dengan ETH。
Serangan senilai $128 juta ini menjadi kursus wajib biaya dalam pertumbuhan DeFi dan menimbulkan tiga pertanyaan akut
1 saat “ standar emas ” 11 audit tidak dapat mendeteksi celah fatal selama dua tahun, “ audit ” apa artinya
Ketika “ penyakit menular berkode ” menjadi normal, dan celah kesepakatan dasar dapat menghancurkan 27 perjanjian turunan seketika, adalah DeFi ' s kombinasi inovasi atau kutukan
perancis 3 ketika rantai publik yang muncul dipaksa untuk “ desentralisasi ” dan “ simpan pengguna ” pilih antara, “ kode &rdquao; memiliki ideal yang diberikan jalan ke “ pragmatis terpusat &rdquo
Pada masa depan, keamanan DeFi mungkin tidak lagi hanya bergantung pada lebih banyak audit, tetapi lebih pada desain perjanjian yang lebih sederhana, lebih kuat dan fundamental kurang agresif. Bagi para pengguna yang kehilangan kepercayaan dan modal dalam acara tersebut, biaya realisasi ini sangat besar。