Balancer, $116m hack'in temel nedenini belirledi

(https://img-cdn.gateio.im/webp-social/moments-28823b0952759c92c6a17cf2a2b49c1d.webp)Balancer platformunu sarsan son hack’in teknik köken nedenini ortaya çıkardı.
Özet

• Balancer, “upscale” fonksiyonundaki yuvarlama hatasını, birden fazla ağda varlıkların boşaltılmasına neden olan istismarın kaynağı olarak belirledi.
• $116 milyon dolardan fazla çalındı; Ethereum, Arbitrum, Base ve Polygon gibi ağlarda kayıplar yaşandı, ancak StakeWise etkilenen kullanıcılara yaklaşık $19 milyon osETH geri kazandırdı.
• Kurtarma çalışmaları devam ediyor; protokol ve ortaklar savunmasız havuzları donduruyor, çalınan fonları izliyor ve varlık uzlaştırmasıyla ilgili nihai rapora hazırlanıyor.

DeFi protokolü Balancer, 3 Kasım’daki saldırının temel nedeninin “upscale” fonksiyonunun yuvarlama mantığındaki içsel bir hata olduğunu belirledi. Yeni yayımlanan ön rapora göre, token takasları sırasında kullanılan bu fonksiyon, saldırganlar tarafından birden fazla ağda istismar edilerek WETH, osETH ve wstETH gibi varlıkların hızla boşaltılmasına yol açtı.​

Saldırganlar, kodun tam sayı olmayan ölçeklendirme faktörlerini nasıl ele aldığıyla ilgili durumu kullanarak havuz bakiyelerini manipüle etti ve değeri boşalttı. Balancer, bu ihlalin saldırganların fonları gizlice kasalara taşımasına ve ardından nihai çekim yapmasına imkan sağladığını açıkladı.

Toplamda, olayların ardından 116,6 milyon dolar çalındı; kayıplar Ethereum, Arbitrum, Base ve Polygon gibi çeşitli ağlarda ve varlıklarda gerçekleşti. Çalınan tokenler arasında en büyük miktarlar 6.587 WETH, 6.851 osETH ve 4.260 wstETH olarak rapor edildi ve olay raporunda doğrulandı.​

StakeWise, etkilenen protokollerden biri olarak, yaklaşık $116 milyon değerinde osETH’yi geri kazandı; bu, toplam boşaltılan miktarın yaklaşık %73,5’ine karşılık geliyor. Bu fonlar, hack öncesi bakiyelerine göre etkilenen kullanıcılara iade edilecek, ancak saldırgan bazı varlıkları ETH’ye dönüştürdüğü için bunlar geri alınamaz hale geldi.​

Balancer kurtarma adımlarını atıyor

Balancer ve güvenlik ortakları, olayı hâlâ denetliyor ve kayıp fonları uzlaştırmak için çalışmalarını sürdürüyor. Saldırının ardından, güvenlik ekipleri tüm etkilenen havuzları durdurdu, yeni havuzların oluşturulmasını devre dışı bıraktı ve savunmasız olarak belirlenen havuzlar için ödülleri askıya aldı; bu bilgiler resmi olay raporunda yer alıyor.

DeFi alanındaki diğer ekipler de kayıpları sınırlamak ve saldırgan hareketlerini kontrol altına almak amacıyla çeşitli adımlar attı. Sonic Labs gibi protokoller acil durumlarda hesapları dondururken, Berachain doğrulayıcıları ağlarını geçici olarak durdurdu. Monerium ve Gnosis gibi ortaklar ise varlıkları dondurmak veya engellemek için kontroller getirdi.

Whitehat ekipleri ve destek botları, işlemleri izleyerek varlıkları geri almaya çalıştı; bazıları yüzbinlerce doları geri kazandı. Bu çabalar, otomatik sistemler ve manuel izleme yöntemlerinin birleşimiyle katmanlı bir varlık kurtarma yaklaşımı oluşturdu.

Balancer, tüm etkilenen havuzlar ve işlemler doğrulandıktan sonra, toplamlar ve kurtarma durumu ile ilgili nihai raporun yayımlanacağını belirtti. Şu an için kullanıcıların, etkilenen sözleşmelerden uzak durmaları ve resmi kanallar üzerinden güncellemeleri takip etmeleri tavsiye ediliyor; çünkü incelemeler ve uzlaştırmalar devam ediyor.​