İçindekiler Tablosu
Balancer DeFi protokolündeki 116 milyon dolarlık hırsızlığı inceleyen rapor, açığın kaynağını BatchSwaps ve EXACT_OUT ile ilişkilendiriyor; güvenlik önlemleri ve geleceğe yönelik dersler vurgulanıyor
Balancer ekibi, DeFi alanında kayda geçen son güvenlik olayını inceleyen bir postmortem raporu yayımladı. Rapor, yaklaşık 116 milyon doların çalındığı olayı mercek altına alırken, açığın Balancer v2 Stable Pools ve Composable Stable v5 havuzlarındaki zayıf noktalar üzerinden gerçekleştiğini belirtiyor. Olay, akıllı kontrat tabanlı finansal ekosistemlerde güvenliğin ne kadar kırılgan olabileceğini bir kez daha gösterdi ve topluluğu risk yönetiminin önemine dikkat çekmeye zorladı. Cointelegraph’ın ve Balancer’ın durum güncellemelerine göre, saldırı süreci boyunca fonlar bazı durumlarda Vault iç dengelerde tutulmuş, ardından yeni işlemlerle çekilmiştir
Olayın teknik kökleri ve kullanılan yöntemler
Rapora göre saldırganlar BatchSwaps özelliğini kullanarak tek bir işlemde birden çok işlemi bir araya getirip flashloans kullanmışlar. Ayrıca EXACT_OUT değişkeninin yuvarlama mekanizmasından faydalanarak Stable Pools içindeki değerleri manipüle etmişler. Yuvarlama fonksiyonunun amacı, giriş olarak verilen token fiyatlarında aşağı yönlü yuvarlama yapmaktır; ancak bu yaklaşım, BatchSwaps ile birleştiğinde likidite havuzlarından fonların akışkan bir şekilde çekilmesine zemin hazırlamış. Bu süreçte bazı fonlar Vault içinde iç dengelerde kalıp daha sonra sonraki işlemlerle çekilmiştir. Bu bulgular, DeFi protokollerinin tasarımında mikro-uyumsuzlukların nasıl büyük kayıplara yol açabileceğini net bir şekilde ortaya koyuyor
Anahtar teknik noktalar
- BatchSwaps ile çoklu aksiyonların tek işlemde bir araya getirilmesi
- Flashloans kullanımı ile kısa vadeli borçlanmanın geri ödenmesi
- EXACT_OUT için yuvarlama davranışının istismar edilmesi
- Vault iç dengelerini içten kullanıma açan tasarım zayıflıkları
Balancer’ın yanıtı ve bu adımların sonuçları
Olayın ardından Balancer, etkilenen havuzları durdurdu ve yeni açıkların oluşturulmasını engellemek için bazı havuzların oluşturulmasını geçici olarak devre dışı bıraktı. Ayrıca etik hackerları ödüllendirme amacıyla %20 oranında whitelist işbirliği ödülü teklif etti; şu ana kadar ödül talebi gerçekleşmedi. Güvenlik partnerleri ve diğer kripto protokolleriyle yapılan işbirliği sayesinde bazı çalınan varlıkları geri almak ya da dondurmak için adımlar atıldı; örneğin StakeWise Staked ETH ve osGNO tokenlerinin belirli bir kısmı geri alınabildi. Rapor, gelecek haftalarda güvenlik iyileştirmelerinin önceliklendirilmesi gerektiğini vurguluyor
Gelecek için çıkarımlar ve sektöre etkisi
Bu vaka, hot walletlar, likidite havuzları ve çevrimiçi olarak ulaşılabilir fonların siber tehditlere karşı hassas olduğunu bir kez daha hatırlatıyor. Kapsamlı güvenlik denetimlerinin ötesinde operasyonel güvenlik, olay müdahale yetenekleri ve anlık risk azaltma stratejileri de kritik hale geliyor. DeFi topluluğu ve geliştiriciler, Paliner varyantı olarak görülen bu tip saldırılardan ders çıkarıp, yuvarlama davranışlarının belirli havuzlarda nasıl etki yarattığını netleştirme ve benzer zafiyetleri kapatma yönünde adımlar atmalılar. Rapor, kullanıcıların ve protokol geliştiricilerinin güvenlik konusunda daha temkinli davranması gerektiğini bir kez daha gösteriyor
Balancer’a dair bu postmortem, DeFi güvenliğinin sürekli bir çalışma alanı olduğunu hatırlatıyor. Olay, “güvenlik by design” yaklaşımının önemini vurgulayarak, tekhaneli hataların bile geniş çaplı maddi kayıplara yol açabileceğini ortaya koyuyor. Cointelegraph’ın kapsamlı incelemelerine göre, protokoller arası işbirliği ve proaktif risk yönetimi, benzer durumların etkisini azaltmada kilit rol oynamaya devam edecek. Bu bağlamda, kullanıcılar da kendi fon güvenliklerini artırmak için en az koruma adımlarını benimsemeli ve ekosistemin güncel güvenlik uygulamalarını takip etmelidir