Sa loob ng 5 taon, 6 na insidente ng pagkawala ng higit sa 100 millions, kasaysayan ng pag-atake ng hacker sa matagal nang DeFi protocol na Balancer

Chainfeeds Panimula:

Para sa mga tagamasid, ang DeFi ay isang kakaibang panlipunang eksperimento; para sa mga kalahok, ang pagnanakaw sa DeFi ay isang mahal na aral.

Pinagmulan ng Artikulo:

Deep Tide TechFlow

Pananaw:

Deep Tide TechFlow:Agad na naglabas ng opisyal na anunsyo ang Balancer matapos ang insidente, kinikilala ang natuklasang posibleng pag-atake ng bug na maaaring makaapekto sa V2 pool, at sinabing ang engineering at security team ay nagsasagawa ng mataas na prayoridad na imbestigasyon sa insidente. Ipapahayag nila ang resulta ng beripikasyon at mga susunod na hakbang kapag may sapat na impormasyon na. Kasabay nito, inanunsyo ng team na handa silang magbigay ng 20% white hat reward mula sa ninakaw na asset bilang kapalit ng pagbawi ng pondo, na may palugit na 48 oras. Bagama't mabilis ang tugon, ito ay tila opisyal at hindi napawi ang pagkabahala ng komunidad. Para sa mga beteranong DeFi user, ang pag-hack sa Balancer ay halos naging taunang balita. Mula nang itatag ito noong 2020, ang protocol na dating tinaguriang flexible market maker ay nakaranas na ng anim na insidente ng seguridad sa loob ng limang taon—halos taun-taon ay may pag-atake ng hacker. Noong Hunyo 2020, dahil sa bug sa paghawak ng deflationary token na STA, nawalan ng humigit-kumulang $520,000 ang Balancer. Sinamantala ng attacker ang katangian ng STA na awtomatikong sinusunog ang 1% na fee sa bawat transfer, nanghiram ng 104,000 ETH mula sa dYdX at nagsagawa ng 24 na cyclic trades sa pool hanggang maubos ang STA, na naiwan na lang ng 1 wei, at pagkatapos ay ipinagpalit ito sa ETH, WBTC, LINK, at SNX sa labis na hindi balanseng presyo. Ito ang unang malaking kabiguan ng Balancer at nagbunyag ng kahinaan ng protocol sa disenyo ng compatibility ng komplikadong token. Sa mga sumunod na taon, paulit-ulit na nakaranas ng security incidents ang Balancer. Noong Marso 2023, nadamay ito sa pag-atake sa Euler Finance at nawalan ng humigit-kumulang $11.9 milyon. Noon, ang Euler ay inatake gamit ang $197 milyon flash loan, at ang bb-e-USD pool ng Balancer na may hawak na Euler eToken ay nadamay, nailipat ang pondo sa Euler, na umabot sa 65% ng TVL ng pool. Bagama't agad na na-freeze ng team ang pool, hindi na naibalik ang nawalang pondo. Sa parehong taon, noong Agosto, ang V2 pool ay inatake gamit ang "rounding error" bug, kung saan sinamantala ng attacker ang precision deviation ng Boosted Pool para magdulot ng abnormal na kalkulasyon ng BPT supply at mag-withdraw ng asset gamit ang hindi patas na exchange rate. Bagama't nagbigay na ng babala ang Balancer noong Agosto 22 at hinimok ang mga user na mag-withdraw, limang araw matapos nito ay nagtagumpay pa rin ang hacker, na nagdulot ng $2.1 milyon na pagkalugi. Noong Setyembre, nagkaroon ng DNS hijacking incident, kung saan gamit ang social engineering ay na-hack ng attacker ang registrar na EuroDNS, na-hijack ang balancer.fi domain, at inilipat ang mga user sa phishing site gamit ang Angel Drainer malicious contract para hikayatin ang unauthorized transfers. Bagama't hindi ito bug sa smart contract, ipinakita nito ang kahinaan ng Web3 protocols sa tradisyonal na internet security layer. Noong Hunyo 2024, na-hack ang forked project ng Balancer na Velocore at nawalan ng $6.8 milyon, na sanhi ng overflow bug sa CPMM pool design, na nagpatampok ng systemic risk ng Balancer-style architecture. Ang pag-atake nitong Nobyembre 2025 ang pinakamalubha sa kasaysayan. Ayon sa security companies na Decurity at Defimon Alerts, ang bug ay nagmula sa access control logic error ng manageUserBalance function ng V2 protocol. Sa normal na kalagayan, dapat suriin ng system kung ang caller ay siyang may-ari ng account, ngunit mali ang code na nagve-verify kung magkapareho ang msg.sender at ang user-defined parameter na op.sender. Dahil maaaring arbitraryong itakda ng user ang op.sender, nagawang magpanggap ng attacker bilang ibang tao at lampasan ang permission check para isagawa ang WITHDRAW_INTERNAL operation, na direktang nagwi-withdraw ng asset mula sa treasury ng kahit anong account. Sa madaling salita, kahit sino ay maaaring magpanggap na may-ari ng kahit anong account at mag-withdraw ng pondo. Ang ganitong basic na access control error sa isang protocol na tumatakbo na ng limang taon ay nakakagulat. Sa pagbalik-tanaw, makikita na ang pagiging komplikado at mabilis na iteration ng Balancer ay nagdulot ng pagkalabo ng security boundaries—ang custom weight pool design na maaaring maglaman ng hanggang walong uri ng token ay nagbigay ng flexibility ngunit nagpalawak din ng attack surface. Sa patong-patong na features at technical debt, ang code structure ng Balancer ay tila isang marupok na tore ng mga bloke. Ang pinakabagong bug ay hindi lang simpleng contract error, kundi nagpapakita ng mas malalim na problema sa landas ng pag-unlad ng DeFi: sa gitna ng hype sa narrative at kapital, tila naisantabi ang code robustness.