Balancer, 1.28 milyon dolarlık bir açıkla karşı karşıya: Bir yuvarlama hatası likidite havuzunu nasıl boşaltır

Olay Bülteni

Geçen hafta pazartesi sabahı, DeFi protokolü Balancer'ın büyük bir güvenlik açığı olduğu ortaya çıktı - V2 sürümündeki birleştirilebilir stabil havuzlar (Composable Stable Pools) büyük ölçekli bir saldırıya uğradı ve yaklaşık 128 milyon dolarlık bir miktarı kapsıyor. İyi haber, çoğu varlığın geri alındığı, ancak bu olayın toplu değişim mekanizmasındaki ölümcül bir yuvarlama hatasını ortaya çıkardığı.

Teknik Analiz: Bir Yuvarlama Hatasının Yol Açtığı Felaket

Açığın kaynağı beklenmedik şekilde basit - Balancer V2 Vault, TOPLU DEĞİŞİM desteklediğinde, EXACT_OUT siparişlerinin ölçekleme fonksiyonunda bir yuvarlama açığı bulunmaktadır.

Özellikle:

• Toplu takas, bir işlem içinde birden fazla işlemin tamamlanmasına izin verir ve Gas ücretlerini optimize etmek için gecikmeli hesaplama kullanır.
• Ölçekleme faktörü tam sayı olmadığında, sistem aşağıya yuvarlar ve bu da küçük sayısal farklılıklara yol açar.
• Saldırganlar bu farklılıkları toplu değişim işlevi aracılığıyla tekrar tekrar kullanarak, bir kart sihirbazı gibi değerleri aşamalı olarak çıkarıyor.
• Likidite sağlayıcılarının tokenleri, minimum likidite korumasını atlayarak normal token olarak işlenir.

Sonuç: Bazı eski V5 havuz sürümlerinde, likidite seviyesi anormal derecede düşük seviyelere düştü ve ardından büyük ölçüde fon kaçışı yaşandı.

Etkilenen alan ne kadar geniş?

Zarara Uğrayan Zincir: Ethereum, Arbitrum, Optimism, Polygon, Avalanche, Base, Gnosis, Sonic, Berachain gibi 9 ana akım kamu zinciri.

Ama bu çok önemli:

• ✅ Balancer V3 tamamen etkilenmedi
• ✅ V2'nin diğer tür likidite havuzları güvenli.
• ❌ Sadece Composable Stable v5 sürümü çökmüştür (v6 otomatik olarak durdurulmuştur)

Geri Alım Savaşı Gelişimi

• StakeWise çalınan osETH fonlarının %70'ini geri aldı.
• BitFinding yaklaşık 600.000 dolar değerinde transfer edilen varlıkları ele geçirdi.
• Çoklu zincir iş birliği: Sonic Labs, Berachain doğrulayıcıları, Monerium gibi kuruluşlar kendi ağlarında dondurma önlemleri uyguladı.
• Mevcut varlık geri kazanım oranı %70'in üzerinde, takip edilmeye devam ediliyor.

Olağan Kullanıcılar Üzerindeki Etkisi

V6 Kombinlenebilir Stabil Havuz: Kurtarma modu etkinleştirildi, temel varlıkların orantılı olarak çekilmesine izin verilir (normal işlem yapılabilir)

V5 Kombinlenebilir Stabil Havuz: Duraklatıldı, etkileşimde bulunmamanız önerilir, resmi bildirimi bekleyin.

Diğer Tüm Havuzlar: Normal şekilde çalışıyor, sıfır risk.

Gelecek Noktalar

• Tam teknik denetim raporu çıkmayı bekliyor
• Hukuk değerlendirmesi ve tazminat planlaması aşamasında
• Etik hacker, fon takibine yardımcı oluyor.

Bu olay, büyük DeFi protokollerinin bile kodlarındaki küçük hataların büyük kayıplara yol açabileceğini bir kez daha hatırlatıyor. Neyse ki, Balancer'ın hızlı tepkisi ve ekosistem ortaklarının işbirliğiyle zarar kontrol altına alındı.