- Kasama sa mga inilipat na asset ang StakeWise Staked Ether (OSETH), Wrapped Ether (WETH), at Lido wstETH (wSTETH).
- Noong Setyembre 2023, ang Balancer ay nakaranas ng phishing attack na nagresulta sa pagkawala ng humigit-kumulang $238,000.
- Isang hiwalay na insidente noong Agosto ang nagdulot ng halos $1 milyon na pagkawala matapos matuklasan ang kahinaan sa mga liquidity pool ng Balancer.
Isang pinaghihinalaang exploit na kinasasangkutan ng halos $70 milyon na halaga ng digital assets ang muling naglagay sa Balancer, isa sa mga nangungunang decentralized exchange ng Ethereum, sa ilalim ng masusing pagsusuri.
Muling pinainit ng insidenteng ito ang diskusyon tungkol sa seguridad ng decentralized finance (DeFi), kung saan ang transparency at automation ay kadalasang kaakibat ng malalalim na estruktural na kahinaan.
Ipinapakita rin nito kung paano ang mga pangunahing katangian ng DeFi tulad ng permissionless access, open-source code, at composable smart contracts ay maaaring madaling maging panganib kapag tinarget ng mga bihasang attacker.
Para sa Balancer, ang breach na ito ay nadagdag sa lumalaking talaan ng mga cyber incident na muling humuhubog sa pananaw ng panganib sa digital finance at nagtutulak ng panawagan para sa mas matibay at magkakaugnay na depensa sa buong DeFi ecosystem.
$70 milyon sa Ether-linked assets inilipat sa bagong wallet
Ipinapakita ng mga tala sa blockchain sa Etherscan na $70.9 milyon na asset ang inilipat mula sa Balancer liquidity pools papunta sa isang bagong likhang wallet sa pamamagitan ng tatlong transaksyon.
Ang datos mula sa analytics firm na Nansen ay nagtukoy na ang mga inilipat na asset ay 6,850 StakeWise Staked Ether (OSETH), 6,590 Wrapped Ether (WETH), at 4,260 Lido wstETH (wSTETH).
Sinimulan ng mga on-chain analyst na subaybayan ang kilos ng wallet, na napansin ang pagkakatulad sa mga naunang pattern ng DeFi drain.
Iniulat ng blockchain security firm na Cyvers na hanggang $84 milyon na kahina-hinalang mga transaksyon sa iba't ibang chain ay maaaring konektado sa Balancer.
Kasalukuyang sinusuri ng kumpanya kung ang mga paglilipat ay isinagawa sa pamamagitan ng mga kahinaan sa smart contract o pinadali ng panlabas na exploit na gumagamit ng inter-protocol liquidity flows.
Kasaysayan ng mga pag-atake sa Balancer
Noong Setyembre 2023, ang website ng protocol ay na-kompromiso sa pamamagitan ng domain name system (DNS) hijack na nag-redirect sa mga user sa isang phishing interface.
Isinagawa ng mga hacker ang mga malisyosong smart contract na idinisenyo upang makuha ang mga private key at mag-drain ng pondo, na nagresulta sa pagkawala ng humigit-kumulang $238,000, ayon sa blockchain investigator na si ZachXBT.
Isang buwan bago nito, noong Agosto, iniulat ng Balancer ang isang stablecoin exploit na nagdulot ng halos $1 milyon na pagkalugi sa mga liquidity provider.
Naganap ang insidenteng iyon ilang sandali matapos ibunyag ng team ang isang “critical vulnerability” na nakaapekto sa ilang liquidity pool, na bahagyang naresolba ngunit nanatiling maaaring ma-exploit sa ilang partikular na configuration.
Ang pag-uulit ng mga insidente sa loob ng maikling panahon ay nagpapahiwatig na ang open-source na kalikasan ng DeFi, habang nagpo-promote ng inobasyon, ay nagbibigay din sa mga attacker ng patuloy na nagbabagong blueprint upang targetin ang mga kahinaan ng protocol.
Ipinapakita ng mga breach na ito na ang mga security audit lamang ay hindi sapat kung walang tuloy-tuloy na on-chain monitoring at real-time risk mitigation systems.
Ang seguridad na paradoha ng DeFi
Ipinapakita ng kaso ng Balancer ang isang paradoha sa puso ng decentralized finance.
Sa pagtanggal ng mga intermediary, nakakamit ng mga protocol ang transparency at autonomy, ngunit inaalis din ang posibilidad ng interbensyon kapag ang mga pondo ay nailipat nang hindi tama.
Hindi tulad ng mga centralized exchange na maaaring mag-freeze o magbaliktad ng mga transaksyon, ang mga DeFi protocol ay gumagana sa immutable smart contracts.
Kapag na-exploit na, ang mga pagkalugi ay permanente at karaniwang hindi na mababawi.
Ang estruktural na katigasan na ito ay nakatanggap ng batikos mula sa mga institutional investor na tinitingnan ang ganitong mga kahinaan bilang hadlang sa malawakang pagtanggap.
Bilang tugon, ilang DeFi project ang nagpakilala ng mga layered defense tulad ng decentralized insurance pools, advanced audit frameworks, at formal verification ng contract code.
Gayunpaman, nananatiling hindi pantay-pantay ang mga hakbang na ito sa buong ecosystem.
Ang paulit-ulit na isyu sa seguridad ng Balancer ay maaaring magsilbing case study kung paano ang liquidity incentives at composability ay maaaring magpalala ng systemic exposure.
Habang ang mga DeFi protocol ay nagiging mas magkakaugnay sa pamamagitan ng shared token standards at cross-chain bridges, ang isang compromised na smart contract ay maaaring magdulot ng sunud-sunod na panganib sa pananalapi sa maraming platform.
