作者：Jack Inabinet Джерело: bankless Переклад:善欧巴，金色财经

Наслідки атаки на вразливість Balancer V2

Balancer — це популярна децентралізована біржа, яка характеризується автоматичним балансуванням Ліквідних пулів та механізмом заохочення токенами. Нещодавно її балансувальний Глобальний Ф’ючерс V2 був вкрадений, що спричинило збитки на суму кількох десятків мільйонів доларів.

Багато форків Balancer V2 (тобто альтернативних бірж, що використовують код Balancer) також зазнали впливу, і кілька постраждалих блокчейнів вжили радикальні заходи для зменшення подальших збитків.

Чому ця подія спричинила ланцюгову реакцію у криптоіндустрії? Детальніше у наступному.

Важливі помилки Balancer

3 листопада (понеділок) вночі, балансувальні Глобальні Ф’ючерси V2, розгорнуті на Етеріумі, Base, Polygon та Arbitrum, були атаковані з використанням вразливості, що спричинило збитки майже 80 мільйонів доларів. Проблема стосувалася лише “комбінованих стабільних пулів” у V2, вона не торкнулася Balancer V3 та інших типів пулів.

Платформа аналізу даних DeFiLlama показує, що у Balancer V2 існує 27 окремих форків. Хоча більшість з них мають незначний обсяг заблокованих активів, з Sonic-екосистеми протокол Beets було викрадено 3,4 мільйона доларів, а з протоколу Beethoven у Optimism — 283 тисячі доларів. Крім того, на базі Balancer побудована нативна біржа BEX на мережі Berachain, яка має під загрозою близько 12 мільйонів доларів користувацьких активів.

На момент написання цієї статті, Balancer ще не оприлюднив офіційний звіт про аналіз інциденту, але існують думки, що причина вразливості полягає у дефекті функції “manageUserBalance”, зокрема у відсутності коректної перевірки доступу; також є припущення, що атака була викликана маніпуляціями з “незмінністю” цін токенів у пулі Balancer.

Після атаки користувачі Balancer та його форків негайно почали екстрене виведення активів для захисту своїх коштів. Один із китів, який не активувався три роки, усього за 30 хвилин після атаки зняв з Balancer всі 6,5 мільйонів доларів у GNO-WETH.

Щоб обмежити збитки, кілька блокчейнів застосували радикальні заходи — ці агресивні дії розмивають межу між реагуванням на кризу та централізованим контролем:

Polygon, де балансувальні V2 були вкрадені приблизно на 100 тисяч доларів, застосував перевірку транзакцій хакера, фактично заморожуючи викрадені цифрові активи у місці;

Sonic змінив логіку нативного токена “S”, надавши Sonic Foundation право односторонньо додавати до чорного списку адреси гаманців (забороняючи володіння нативним токеном), а також обнулити баланс S у атакуючого;

одночасно, мережа Berachain повністю зупинила генерацію блоків, призупинивши створення блоків для запобігання подальшого викрадення активів у BEX (офіційна біржа Berachain).

Основні питання, що виникли через Balancer

Ця атака на вразливість Balancer поставила перед криптоіндустрією два ключові питання.

Перший: якщо Balancer V2 можна так легко атакувати, то наскільки безпечні інші DeFi-протоколи?

Balancer V2 — це протокол із багаторічною історією роботи: понад чотири роки, і він пройшов кілька незалежних аудитів смартконтрактів. Навіть цей перевірений протокол може бути атакований, і це викликає сумніви — а які ще DeFi-протоколи справді безпечні?

Безперечно, користувачі шифрування отримують переваги блокчейну, але коли виявляються вразливості у фундаментальних протоколах DeFi, які ігнорувалися аудиторами роками, стає дедалі важче довіряти безпомилковості застосунків на основі безліцензійних смартконтрактів.

Друге питання: якщо деякі блокчейни мають право заморожувати кошти хакерів, то чому регулятори не можуть змусити їх робити те саме щодо “незаконних” активів?

Якщо Polygon, Sonic, Berachain та інші блокчейни здатні заморожувати активи зловмисників, то чому фінансові регулятори не можуть примусити ці (та інші з подібною централізацією) мережі блокчейнів блокувати всі операції, що вони вважають незаконними?

У березні 2023 року, передній Глобальний Ф’ючерс MakerDAO Oasis.app (зараз перейменований у Summer.fi) — під тиском англійського та валлійського Верховного суду — використав адміністративний бекдор для доступу до своїх смартконтрактів і повернув 225 мільйонів доларів у криптоактивах, викрадених через хак Wormhole.

Цей випадок показує, що традиційна правова система може через арешти або інші юридичні заходи змусити децентралізовані протоколи діяти у певний спосіб. Чи можливе застосування такого підходу регуляторами й надалі — тобто видавати судові накази, що дозволяють блокувати активи або операції у кількох ланцюгах, що не підконтрольні регуляторам, за підозрою у незаконній діяльності (наприклад, без урядового контролю або ідентифікації учасників)?