Balancer, $128M Hazinelerden Taşındığı İçin Saldırıya Uğradı

Merkeziyetsiz finans (DeFi) protokolü Balancer, kötü niyetli bir saldırıya uğradıktan sonra $128 milyon kaybetti. Zincir üzerindeki veriler, protokolün kasalarından $128 milyonun üzerinde varlık çekildiğini göstermektedir.

Çalınan fonlar osETH, WETH ve wstETH'yi içermekte olup, kötü niyetli kişi çalınan varlıkları birleştirmekte ve bu durum aklama endişelerini artırmaktadır.

Balancer Saldırıya Uğradı

Balancer, önde gelen bir merkeziyetsiz finans (DeFi) protokolü, büyük bir saldırıya uğradı; zincir üstü veriler, $128 milyondan fazla varlığın yeni bir cüzdana taşındığını gösteriyor. Blockchain verilerine göre, çalınan fonlar arasında 6,850 osETH, 6,590 WETH ve 4,260 wstETH bulunuyor ve saldırı Balancer v2'deki vault'ları etkiledi. Protokolün v2 vault'ları, token'ları toplar ve likidite havuzları arasında ticareti kolaylaştırarak merkezi likidite motoru olarak işlev görür. Balancer ekibi, X'te saldırıyı kabul etti ve şöyle belirtti,

“Balancer v2 havuzlarını etkileyebilecek potansiyel bir istismar hakkında bilgi sahibiyiz. Mühendislik ve güvenlik ekiplerimiz yüksek öncelikle araştırma yapıyor. Daha fazla bilgiye sahip olduğumuzda doğrulanmış güncellemeleri ve sonraki adımları paylaşacağız.”

Sonic, Polygon ve Base üzerindeki Vault'lar da etkilenmiştir.

Mikko Ohtamaa, Trading Strategy'nin kurucu ortağı ve CEO'su, saldırının ön analizinin temel nedeninin hatalı bir akıllı sözleşme olduğunu belirtti. Ayrıca, tüm Balancer sürümlerinin etkilenmediğini ekledi, ancak eski v2 çatallarının saldırgan tarafından kullanılan aynı zayıflığı paylaşması durumunda kayıpların daha yüksek olabileceğini söyledi. Güvenlik firması PeckShield, saldırının Balancer'ın dağıtıldığı birden fazla zincir üzerinde hala devam ettiğini bildirdi.

Saldırının Nasıl Geliştiği

Güvenlik firması Decurity'ye göre, saldırı Balancer'ın “manageUserBalance” fonksiyonundaki hatalı erişim kontrolü nedeniyle gerçekleşti. Açık, msg.sender'ı kullanıcı tarafından sağlanan op.sender ile kontrol eden ValidateUserBalanceOp'da bulunuyordu; bu, UserBalanceOpKind.WITHDRAW_INTERNAL işlemi aracılığıyla yetkisiz çekimlere olanak tanıyan bir mantık hatasıdır.

Daha basit terimlerle, bu zafiyet saldırganların Balancer'ın akıllı sözleşmelerinden gerekli izinler olmadan dahili bakiye çekimlerini tetiklemelerine olanak tanıdı.

“manageUserBalance Balancer'da hatalı bir erişim kontrolüne sahip. _validateUserBalanceOp içinde msg.sender, kullanıcı tarafından sağlanan op.sender ile kontrol ediliyor. UserBalanceOpKind.WITHDRAW_INTERNAL (kind = 1) işleminin yürütülmesine izin veriyor.”

Zincir üzerindeki güvenlik uzmanları, saldırganın adresinin zaten varlıkları konsolide etmeye başladığını vurguladı ve bunun, fonları merkeziyetsiz karıştırıcılar aracılığıyla aklamaya hazırlık yapıldığı endişelerini artırdığını belirtti.

Üçüncü Sömürü

Balancer, kullanıcıların token ticareti yapmasına ve kendi kendine dengeleyen havuzlarını kullanarak likidite sağlamasına olanak tanıyan, Ethereum üzerinde inşa edilmiş merkeziyetsiz bir platformdur. Protokol 2020'den beri aktiftir ve yalnızca Ethereum'da $350 milyon TVL tutmaktadır. Son olay, Balancer için bilinen üçüncü güvenlik ihlali olmuştur. Platform daha önce 2021 ve 2023'te milyonlarca kaybederken, sömürüye uğramıştır. Zincir içi uzmanlar, kasanın Balancer'ın ana akıllı sözleşmesi olduğunu ve her Balancer havuzundan token tuttuğunu belirtmiştir.

Tasarım, Balancer v2'de tanıtıldı ve token muhasebesini havuz mantığından ayırarak havuzları daha küçük, daha basit ve daha güvenli hale getirdi. Bu yaklaşım, herkesin yeni bir DEX oluşturmadan yeni bir havuz tasarımını entegre etmesine olanak tanıdı.

Açıklama: Bu makale yalnızca bilgilendirme amaçlıdır. Yasal, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmamaktadır veya kullanılmak üzere tasarlanmamıştır.