116 milyon doların buhar olduğu Balancer saldırısının detayları şoke etti

Merkeziyetsiz finans (DeFi) protokolü Balancer’ın arkasındaki ekip, çarşamba günü DeFi piyasalarında 116 milyon dolar çalan siber saldırının nedenini ayrıntılarıyla açıklayan ön inceleme raporunu yayımladı.

Rapora göre, Balancer pazartesi günü Balancer v2 Stable Pools ve Composable Stable v5 havuzlarını hedef alan siber saldırıda, kodlardaki hatadan yararlanıldı. Diğer tüm havuz türleri ise etkilenmedi.

Saldırgan, Stable Pools içindeki EXACT_OUT takaslarını etkileyen upscale yuvarlama fonksiyonunun istismarının yanı sıra, kullanıcıların tek bir işlemde birden fazla eylemi paketlemesine olanak tanıyan BatchSwaps kombinasyonunu kullandı. Bu işlemler arasında, aynı işlem içinde borç alınıp geri ödenen kısa vadeli krediler olan flashloan’lar da yer aldı.

Yuvarlama fonksiyonunun amacı, token fiyatları bir girdi olduğunda aşağı yuvarlamaktır. Ancak saldırgan, bu yuvarlama değerlerini manipüle etmeyi başardı ve BatchSwap özelliği ile birlikte stable havuzlardan fonları boşalttı. Ekip şöyle yazdı:

“Birçok durumda, istismar edilen fonlar sonraki işlemlerde çekilmeden önce iç bakiyeler olarak Vault içinde kaldı.”

Siber saldırı, sıcak cüzdanlar, likidite havuzları ve internete maruz kalan zincir üstü fonların, bilgisayar korsanlarının gelişen siber güvenlik tehditlerine karşı savunmasız olduğunu hatırlatarak kripto kullanıcılarını ve blockchain geliştiricilerini fonları koruma konusunda dikkatli olmaya yönlendiriyor.

Balancer, kripto endüstrisinin yardımıyla 116 milyon dolarlık siber saldırıya yanıt veriyor

Cointelegraph’ın daha önce bildirdiği üzere, saldırganların saldırıyı gerçekleştirmeden önce aylarca hazırlık yaptığı ve saldırıyı fonlamak için tespit edilmemek amacıyla bir dizi 0,1 Ether (ETH) Tornado Cash mevduatı kullanan yetenekli profesyoneller olması muhtemeldir.

Balancer, çalınan fonların bir kısmını geri almak veya dondurmak için siber güvenlik ortakları ve kripto protokolleriyle çalıştı. Buna yaklaşık 19 milyon dolar değerinde 5 bin 41 StakeWise Staked ETH (osETH) ve 2 milyon dolara kadar değer biçilen 13 bin 495 osGNO tokeni dahil.

Ekip, tüm etkilenen havuzları durdurdu ve güvenlik sorunu çözülene kadar yeni “savunmasız” havuzların oluşturulmasını devre dışı bıraktı.

Balancer, çalınan fonların iadesi için etik bilgisayar korsanlarına ve saldırgana yüzde 20 white hat ödülü teklif etti ancak bu yazının yazıldığı sırada henüz hiç kimse ödülü talep etmedi.