May-akda: ChandlerZ, Foresight News
Muling napasok sa mata ng bagyo ang mundo ng DeFi.
Ilang proyekto na nakabatay sa Balancer V2 na arkitektura ang inatake noong Nobyembre 3 sa isang maingat na planadong pag-atake, na nagdulot ng kabuuang pagkalugi na higit sa 120 milyong dolyar. Hindi lamang naapektuhan ang Ethereum mainnet, kundi pati na rin ang Arbitrum, Sonic, Berachain at iba pang mga chain, na naging isa sa mga pinakamalaking insidente ng seguridad sa industriya matapos ang mga insidente sa Euler Finance at Curve Finance.
Ayon sa paunang pagsusuri ng BlockSec, ito ay isang "mataas na komplikadong price manipulation attack", kung saan ang pangunahing taktika ng attacker ay ang pagbaluktot ng lohika ng pagkalkula ng presyo ng BPT (Balancer Pool Token), gamit ang rounding error sa invariant, upang lumikha ng price distortion at paulit-ulit na mag-arbitrage sa isang batch swap.
Bilang halimbawa, sa isang attack transaction sa Arbitrum, nahati ang pag-atake sa tatlong yugto:
-
Una, pinalitan ng attacker ang BPT para sa base asset, at maingat na in-adjust ang cbETH balance sa rounding boundary (halos 9), upang maghanda para sa precision loss na kailangan sa susunod na hakbang;
-
Pagkatapos, sa isang tiyak na bilang (=8), nag-exchange sa pagitan ng isa pang base asset na wstETH at cbETH. Dahil sa pag-round down sa scaling, bahagyang nabawasan ang Δx, kaya na-underestimate ang Δy, na nagdulot ng pagbaba ng invariant D ng stable pool, at bumaba ang theoretical price ng BPT;
-
Sa huli, ibinalik ng attacker ang base asset pabalik sa BPT, at kumita mula sa arbitrage sa pinababang presyo.
Sa madaling salita, ito ay isang tumpak na pag-atake na nakabatay sa hangganan ng matematika at code.
Kumpirmado ng opisyal ng Balancer na ang V2 Composable Stable Pools ay naapektuhan ng bug. Sa ngayon, nakikipagtulungan na ang team sa mga nangungunang security researchers para imbestigahan ang insidente, at nangakong maglalabas ng kumpletong post-mortem analysis report sa lalong madaling panahon. Lahat ng apektadong pools na maaaring i-pause ay na-freeze na at nasa recovery mode. Ang bug na ito ay limitado lamang sa V2 Composable Stable Pools at hindi nakakaapekto sa Balancer V3 o iba pang uri ng pools.
Matapos sumabog ang Balancer V2 bug incident, nagkaroon ng matinding pag-uga sa mga proyekto na nag-fork ng Balancer. Ayon sa DeFiLlama, hanggang Nobyembre 4, ang kabuuang TVL ng mga kaugnay na proyekto ay nasa humigit-kumulang 49.34 milyong dolyar na lang, bumaba ng 22.88% sa loob ng isang araw. Sa mga ito, ang BEX, na native DEX ng Berachain, ay bumaba ng 26.4% sa 40.27 milyong dolyar, na kumakatawan pa rin sa 81.6% ng buong ecosystem, ngunit dahil sa chain shutdown at liquidity freeze, patuloy pa rin ang paglabas ng pondo. Ang isa pang biktima, ang Beets DEX, ay mas matindi ang dinanas, na bumagsak ang TVL ng 75.85% sa loob ng 24 na oras, at halos 79% sa nakaraang 7 araw.
Maliban sa mga nabanggit na protocol, ang iba pang DEX na nakabatay sa Balancer architecture ay nakaranas din ng panic withdrawals. Ang PHUX ay bumaba ng 26.8% sa isang araw, Jellyverse ng 15.5%, at Gaming DEX ay bumagsak ng 89.3%, halos naubos ang liquidity. Kahit ang mga hindi direktang naapektuhang medium at small projects tulad ng KLEX Finance, Value Liquid, Sobal, atbp., ay nakaranas ng 5%–20% na paglabas ng pondo.
Nagsimula nang lumitaw ang chain reaction, Berachain nagmadaling nag-hard fork
Ang bug na nagmula sa Balancer V2 ay mabilis na nagdulot ng mas malaking chain reaction.
Ang Berachain, isang emerging public chain na binuo gamit ang Cosmos SDK, ay na-hack din sa loob ng ilang oras dahil ang BEX ay gumagamit din ng Balancer V2 contract architecture. Agad na inanunsyo ng foundation ang "chain-wide shutdown" matapos matuklasan ang anomalya.
Ayon sa ulat, ang mga liquidity pool assets ng BEX tulad ng USDe Tripool ay nanganganib, na may apektadong pondo na humigit-kumulang 12 milyong dolyar. Ginamit ng attacker ang parehong logic bug ng Balancer, at nagnakaw ng pondo sa pamamagitan ng maraming smart contract interactions. Dahil ang ilan sa mga asset ay hindi native tokens, kailangan ng team na magsagawa ng hard fork para i-rollback ang ilang mga block upang maibalik at matunton ang mga pondo.
Kasabay nito, ilang protocol sa Berachain ecosystem, kabilang ang Ethena, Relay, HONEY, atbp., ay nagsagawa rin ng mga hakbang sa depensa:
-
Ipinagbawal ang cross-chain transfer ng USDe;
-
Ipinahinto ang mga deposito sa lending market;
-
Ipinatigil ang minting at redemption ng HONEY;
-
Inabisuhan ang mga centralized exchange na i-blacklist ang mga kahina-hinalang address.
Ayon sa Berachain Foundation, ang network suspension ng Berachain ay planado at inaasahang babalik sa normal na operasyon sa lalong madaling panahon. Ang Balancer bug ay pangunahing nakaapekto sa Ethena/Honey three pool, na nagdulot ng pinsala sa pamamagitan ng medyo komplikadong smart contract transactions. Dahil naapektuhan ng bug ang non-native assets (hindi lang BERA), ang rollback/forward process ay hindi simpleng hard fork, kaya bago matukoy ang final solution, pansamantalang isinara ang network para sa komprehensibong solusyon.
Noong Nobyembre 4, sinabi ng Berachain Foundation na naipamahagi na ang hard fork binary file at ang ilang validator nodes ay na-upgrade na. Bago muling mag-online at mag-generate ng mga block, nais nilang tiyakin na ang mga pangunahing infrastructure partners (tulad ng liquidation oracle) ay na-update na ang kanilang RPC, dahil ito ang pangunahing hadlang sa pagpapatuloy ng chain. Pagkatapos makumpleto ang RPC requests ng core services, makikipag-ugnayan ang team sa cross-chain bridge, CEX partners, custodians, atbp. para maibalik ang serbisyo.
Samantala, isang Berachain MEV bot operator ang nakipag-ugnayan sa foundation matapos ang chain suspension, na nagsabing siya ay isang "white hat" na nag-withdraw ng pondo, at nagpadala ng on-chain message. Ipinahayag niyang handa siyang pumirma ng serye ng mga transaksyon nang maaga upang maibalik ang pondo kapag bumalik na online ang blockchain.
Seguridad ba o desentralisasyon ang uunahin?
"Alam naming kontrobersyal ito, ngunit kapag ang humigit-kumulang 12 milyong dolyar ng user assets ay nanganganib, ang protektahan ang user ang tanging pagpipilian." Ito ang pahayag ni Smokey The Bera, co-founder ng Berachain, sa harap ng komunidad na nagdududa sa isyu ng "centralization".
Inamin niya sa kanyang pahayag na hindi pa naaabot ng Berachain ang antas ng desentralisasyon ng Ethereum, at ang mekanismo ng koordinasyon ng mga validator ay mas kahalintulad ng "crisis command center" kaysa sa automated consensus network. Sa katunayan, ang mga node sa chain ay sabay-sabay na nag-shutdown sa loob ng wala pang isang oras matapos lumitaw ang bug, na nagpapakita ng kahusayan ng centralized decision-making, ngunit naglalantad din ng antas ng centralization sa pamamahala.
Agad na nahati ang reaksyon ng komunidad.
Para sa mga sumusuporta, ipinapakita raw nito ang responsibilidad ng team sa seguridad ng user, isang "realistic decentralization"; ngunit para sa mga tutol, ito ay paglabag sa prinsipyo ng "Code is Law", at isang hayagang pagtataksil sa irreversibility ng chain.
Sinabi ng on-chain detective na si ZachXBT sa kanyang komento, "Sa sitwasyong nalalagay sa panganib ang pondo ng user, ito ay isang mahirap ngunit tamang desisyon."
Ngunit may mga radical developer na nagsabing, "Kung ang blockchain ay maaaring i-pause ng tao anumang oras, ano ang pinagkaiba nito sa tradisyonal na financial system?"
Muling lumitaw ang anino ng DAO incident
Ang insidenteng ito ay nagpapaalala sa maraming tao sa industriya sa 2016 Ethereum DAO hack. Noong panahong iyon, upang mabawi ang 50 milyong dolyar na ninakaw, nagpasya ang Ethereum na mag-hard fork at i-rollback ang mga transaksyon, na nagresulta sa pagkakahati ng komunidad sa Ethereum (ETH) at Ethereum Classic (ETC).
Makaraan ang siyam na taon, muling lumitaw ang parehong pagpipilian.
Ang pagkakaiba, ang pangunahing tauhan ngayon ay isang public chain na nasa maagang yugto pa ng pag-unlad, walang sapat na antas ng desentralisasyon, at walang global consensus na sumusuporta dito.
Bagama't napigilan ng human intervention ng Berachain ang mas malawak na pagkalugi, muling nabuhay ang pilosopikal na tanong na "Talaga bang kayang mag-self-govern ng blockchain?"
Sa isang banda, ito rin ay salamin ng DeFi ecosystem: seguridad, kahusayan, desentralisasyon — ang balanse sa pagitan ng tatlo ay hindi pa talaga nakakamit.
Kapag kayang sirain ng hacker ang sampu-sampung milyong dolyar na asset sa loob ng ilang segundo, madalas na kailangang isakripisyo ang "ideyal" para sa "realidad".
Ayon sa opisyal ng Balancer, kasalukuyang nakikipagtulungan ang team sa mga nangungunang security researchers, at planong maglabas ng kumpletong post-mortem analysis report, at pinaalalahanan ang mga user na mag-ingat sa mga scam na nagpapanggap na security team.
Inaasahan naman ng panig ng Berachain na unti-unting maibabalik ang block production at trading function matapos makumpleto ang hard fork.
Gayunpaman, mas mahirap ibalik ang tiwala kaysa ayusin ang bug. Para sa isang bagong public chain, ang pag-pause ng chain ay maaaring pansamantalang solusyon, ngunit maaaring mag-iwan ng pangmatagalang sugat sa komunidad. Magdududa ang mga user sa tunay na desentralisasyon nito, at mag-aalala ang mga developer kung may garantiya pa bang hindi ito mababago.
Ang mundo ng DeFi ay maaaring muling nagre-redefine ng desentralisasyon, hindi bilang ganap na laissez-faire, kundi bilang paghahanap ng pinakamaliit na kompromiso sa gitna ng krisis.
