الخيانة في قلب استغلالات بالانسير

مع دخول العقد الثاني من القرن الحادي والعشرين، كان لـ DeFi تأثير ملحوظ على العديد من عشاق العملات المشفرة - فقد نمت الابتكارات بشكل كبير، وكان Balancer مثالًا مثاليًا لما يمكن أن تقدمه الصناعة. ظهر في مارس 2020، في وقت كانت فيه Uniswap هي الرائدة في مجال صانع السوق الآلي (AMM) وتبادل (DEX) اللامركزي. لكن ذلك لم يوقف Balancer؛ فقد عزم على القيام بما لم يفعله أسلافه.

أعاد البروتوكول تصور السيولة، وليس مجرد نسخ ما كانت تفعله AMMs الأخرى. كان Balancer في الأساس تقاطعًا بين صندوق المؤشرات وتبادل. قدم ميزات غير مسبوقة، مثل المجموعات التي تحتوي على أكثر من أصلين، وأوزان قابلة للتخصيص لجميع الرموز، ومعلمات ديناميكية للغاية. ببساطة، كان Balancer مرنًا، قويًا، وقابلًا للتجميع مع تطبيقات DeFi الأخرى.

كان هذا البروتوكول حلم كل باني ومزارع عائدات عند إطلاقه. كانت بالانسر تجسد ما يجب أن يبدو عليه التمويل المفتوح في مجال البلوك تشين مع عروضها القوية، بما في ذلك المجموعات الذكية، والتكاملات المعززة، وخارطة الطريق المدفوعة من المجتمع. كانت النظام البيئي متصلًا؛ حيث كان للمشروع إجمالي قيمة مقفلة (TVL) بقيمة 3.5 مليار دولار في عام 2021 وتعاون مع بروتوكولات DeFi الرائدة مثل Yearn وAave والمزيد.

ومع ذلك، لن نكون هنا إذا لم يكن لتنفيذ من هذا النوع جانب sinister. تعزز التعقيد الهشاشة، وتحت غطاء الرياضيات المعقدة والعقود في Balancer كانت تكمن مشاكل ضخمة. قام المهاجمون بإحداث فوضى على المنصة، وانخفضت القيمة التي كانت تحتفظ بها بشكل كبير بين عامي 2021 و 2023. كانت المشكلة أن هذه الحوادث كانت قابلة للتجنب. أدت إخفاقات البصيرة، والحكم، وثقافة الأمان إلى استغلالات متكررة، والتي، في نهاية المطاف، لم تكن سوى خيانات.

###الصعود: ماذا وُعِدَ؟

عندما تم إطلاق Balancer، تغلب على عقبة كبيرة في DeFi، وهي الجمود. قدمت المنافسون الموجودون والراسخون مثل Uniswap سيولة في أحواض كانت مقيدة بأصلين بنسب متساوية 50:50. مع تطور DeFi بسرعة، لم يكن هذا الإعداد يلبي احتياجات المستخدمين الأذكياء.

###الميزات الرئيسية التي جعلت Balancer تبرز

• المسابح الذكية: كانت مسابح البروتوكول فريدة من نوعها، حيث تقدم رسوم قابلة للتخصيص، وأوزان رمزية، وإعادة توازن ديناميكية. كانت هذه الجوانب تُفعّل إما بشكل خوارزمي أو من خلال تدابير الحوكمة.
• تعدين السيولة: تم مكافأة المستخدمين بما يتجاوز الرسوم المجمعة مقابل تخزين السيولة في المسابح من خلال رمز BAL ومن خلال العوائد من الأطراف الثالثة في المسابح المعززة المتخصصة. هذه الحوافز زادت من اعتماد المستخدمين، مما جذب المستخدمين بأعداد كبيرة من المنافسين.
• تنفيذ قابل للتكوين: دمجت بنية بالانسور تنفيذات الإقراض الشائعة مثل Aave و Yearn، مما يتيح للمستخدمين فتح رموز تحمل العائد التي لم تكن متاحة على المنصات المذكورة.
• الحوكمة: بعد عام من إطلاق البروتوكول، يمكن لحاملي BAL اتخاذ القرارات بشأن خزائنه وخارطة الطريق، مما يضمن حوكمة DAO كاملة.

وعدت Balancer مستخدمي DeFi بجنة لا تضاهى. المرونة غير المرئية، المكافآت الهائلة، الحوكمة التي يقودها المجتمع، والعديد من التكاملات جعلتها منافسًا قويًا لأي DEX AMM في ذلك الوقت. لكن كل هذه الأجزاء المتحركة أدت إلى تعقيد غير ضروري. كل واحد منها أنجب مخاطر جديدة، مما جعلها موسمًا مفتوحًا للمهاجمين لاستغلالها.

###نقطة الانهيار—ما الذي حدث خطأ

استغلال بعد استغلال قضى على الثقة. لم يتمكن Balancer من مواكبة ذلك.

####هجوم إعادة الدخول للقراءة فقط

في يونيو 2020، كانت خزائن Balancer، التي تم دمجها مع غلاف متخصص يحمل عائدات، وبالتحديد توكن ERC-4626، تواجه ثغرات ضخمة. في الأساس، كان بإمكان المهاجمين التلاعب بالأرصدة أثناء المعاملة باستخدام aToken المتعلق بـ Aave و yToken المتعلق بـ Yearn؛ افترض Balancer عدم تغيير الحالة في مثل هذه السيناريوهات، لكن ذلك لم يكن صحيحًا.

تم سحب حوالي 500,000 دولار نتيجة لذلك. فشل البروتوكول في مواكبة نمذجة التهديدات الخاصة به لمعالجة متجهات الهجوم الجديدة التي ظهرت نتيجة لبرك التعزيز المبتكرة، والتي كانت السبب في اعتمادها الواسع في المقام الأول.

####ثغرة بركة المعززة

بينما لم يكن هجومًا بأي شكل من الأشكال، على الأقل لفترة قصيرة، كشفت بالانسير أنها حددت خطرًا مقلقًا في أغسطس 2023 وقامت بتجميد بركها المعززة، مما حث مزودي السيولة (LPs) على سحب أموالهم. بينما تم اتخاذ تدابير الطوارئ بشكل متسرع، كان هناك أكثر من $200 مليون في خطر أن ينهبها المجرمون الإلكترونيون.

تساءل المستخدمون بحق عن كيفية وجود خلل بهذا الحجم، خاصة عندما كان من المفترض أن تكتشف عمليات التدقيق القوية ذلك. اتضح أن الاقتراحات لإجراء تدقيقات أعمق تم رفضها من قبل DAO الخاص بـ Balancer قبل عدة أشهر بسبب مخاوف التكلفة.

####استغلال نشط

####حوادث أخرى أضعفت الثقة

انتشرت المشاكل على نطاق واسع - كانت هناك حالات أخرى حدثت أيضًا في ماضي بالانسير. على سبيل المثال، فشل بالانسير في ضبط المعلمات الصحيحة لبرك السباحة الخاصة به، مما أتاح مجالًا للتلاعب بالأسعار. بخلاف ذلك، قام المهاجمون حتى بإطلاق استغلالات القرض الفوري من خلال استغلال آليات التحكيم وسحب السيولة من البرك. لم تنتهِ الأحداث المشبوهة عند هذا الحد - تم السماح لأعضاء DAO المارقين بإطلاق سحب سجاد من خلال البرك العامة المخصصة التي نشرها. سمحت قلة التدقيق لهم بخداع LPs غير المدركين.

###العواقب—الأضرار التي لحقت بالبروتوكول، المستخدمين، والثقة

عندما فقد المستخدمون حوالي $3 مليون بشكل جماعي، مع وجود أكثر من $10 مليون في خطر بسبب الممارسات السيئة من قبل Balancer، تعرض المشروع لفقدان كبير في السمعة. الهجمات شائعة بين بروتوكولات DeFi، ولكن الفشل المتكرر الذي لم يستدعي أي مسؤولية من الفريق الأساسي جعل من الصعب على المجتمع القبول.

أواخر عام 2023 شهدت انخفاضًا في TVL الخاص بـ Balancer، حيث انخفض إلى أقل من $600 مليون من أكثر من 3.5 مليار دولار التي كان يفتخر بها البروتوكول قبل بضع سنوات. بينما يمكن أن يُعزى الكثير من ذلك إلى القوى السوقية وانهيار رمز BAL، إلا أن الوافدين الجدد مثل Maverick و Ambient سحبوا مستخدميه. كما أن المنصات الراسخة مثل Curve و Uniswap، بسبب وظائفها القوية، سحبت أيضًا مستخدمي Balancer مع الاحتفاظ بمستخدميها على الرغم من دخول مشاريع جديدة.

وسط كل الفوضى، عندما كان على المساهمين الرئيسيين اتخاذ إجراءات، شهدت الاقتراحات انخفاضًا في نسبة التصويت وبطءً في المناقشة، مع تدقيقات، وتجميد طارئ للمجمعات، وإصلاحات هيكلية لDAO الخاص بـ Balancer متوقفة. وقد تعرض الـ DAO لانتقادات من قبل مجتمعه الأكبر بسبب عدم اتخاذ أي إجراء، والاختباء خلف التجريب، وخطر الأخلاق، بينما تحمل مستخدموه العبء.

بطبيعة الحال، قطع العديد من المدققين الأمنيين المستقلين الذين يتعاونون مع المنصة العلاقات واتهموا هيكل DAO بعدم القدرة على اتخاذ قرارات فورية وعدم إعطاء الأولوية لحماية المستخدم.

###التحليل - لماذا فشل Balancer؟

كان ارتفاع Balancer خافتًا بسبب التهديدات التي يمكن معالجتها. دعونا نلقي نظرة أقرب.

####تعقيد بدون حواجز

تصميم البروتوكول المفتوح ضمن أن أي شخص يمكنه نشر برك. وقد تبين أن هذا كان كابوسًا، نظرًا لعدم وجود تدابير أمان آلية في مكانها وعمليات التدقيق الضعيفة. كان من الممكن أن تمنع الفحوصات الأفضل من ظهور المشاكل.

####الثقة المفرطة في القابلية للتجميع

أثبتت التكاملات المستمرة لـ Balancer أنها سقوطه. شهد المشروع اعتمادًا كبيرًا من خلال تقديم عوائد أفضل، لكنه ترك الأمان دون رقابة. غيرت Aave و Yearn سلوكها للحفاظ على المتانة، لكن البروتوكول الذي نركز عليه لم يواكب ذلك، وأصبحت مجمعاته غير مستقرة.

####تهديدات النمذجة التي تم التقليل من شأنها

لم يشهد البروتوكول استغلالات يوم الصفر. كانت جميعها نقاط ضعف متوقعة في تصميمه. عالجت تدابير الأمان العقود الأساسية لكنها تركت الحالات الطرفية، مما سمح للمهاجمين بالاستفادة من مقدمي السيولة.

####حوكمة غير كافية

يعتبر اتخاذ القرار بقيادة المجتمع أحد المبادئ الأساسية في DeFi. ومع ذلك، يجب أن تكون DAOs منظمة لتتطلب اتخاذ إجراءات فورية. لم يتم تحقيق أي من ذلك، مما أدى إلى مرور أيام قبل أن يمكن اتخاذ التدابير اللازمة لسد فجوات الأمان.

####المخاطر الأخلاقية والحوافز

في نهاية اليوم، كانت بالancer تعمل فقط كالبنية التحتية، بينما تدعي أنها تركز على المجتمع. كانت تقدم عوائد مرتفعة ولكنها تركت المستخدمين يتحملون جميع المخاطر. وقعت الخسائر المالية على مزودي السيولة وليس على البروتوكول نفسه.

###دروس لنظام التشفير

إذا كان هناك أي شيء جيد خرج من ملحمة Balancer، فكانت الدروس التي يمكن أن يتبناها مشهد العملات المشفرة.

####القابلية للتكوين ≠ الأمان

يمكن أن تدمج البروتوكولات العديد من الطبقات لعرض وتقديم العوائد. من الناحية النظرية، هذا رائع إذا كانت تدابير الأمان توازن المخاطر. ولكن، فإن زيادة القابلية للتكوين تؤدي إلى زيادة التعقيد، مما يترك سؤالاً مهماً يجب طرحه: هل ينبغي على المشاريع حقًا الاستفادة من العديد من التكاملات؟

####يجب أن تكون الأمان مستمرًا

حتى عند إجراء تدقيق شامل، فإنها ليست سوى لقطات للأمان في نقاط زمنية معينة. تظهر المتانة الحقيقية من المراجعات المستمرة، والتحديثات السريعة، والمراقبة على مدار الساعة، ونمذجة المخاطر المناسبة.

####النشر بدون إذن يحتاج إلى أدوات أفضل

إذا كانت البروتوكولات تسمح للمستخدمين بنشر حالات الاستخدام، فيجب تنفيذ عمليات التدقيق الآلي، وتحذيرات الأمان، ومفاتيح الدائرة. بدون الاحتياطات اللازمة، فإن الفوضى تنتظر أن تحدث.

####يجب أن تكون الحوكمة مرنة

عندما تدير DAOs ملايين في الخزائن، فإن تسريع تدابير الأمان هو الحاجة الملحة. يمكن أن يأتي ذلك من خلال المجالس الطارئة والسلطات المفوضة. عدم وجود مثل هذه التدابير يؤدي إلى تأخير اتخاذ القرار، وفي ذلك الوقت، كان المهاجمون قد غمسوا بالفعل أيديهم في الكعكة.

####يجب أن تشمل الشفافية التواصل

يجب على المشاريع إنشاء تحذيرات قابلة للفهم، ولوحات معلومات المخاطر، وتقارير ما بعد الحوادث للمطورين والمستخدمين على حد سواء. الالتزام بالمستودعات التقنية لا يكفي في المناظر المالية المليئة بالمخاطر.

####الدين الابتكاري حقيقي

مع كل ميزة جديدة يتم نشرها، يتم إضافة دين الابتكار في شكل أعباء ناتجة عن عمليات الأمان والمراقبة والحوكمة. إذا تجاوز الابتكار السعة، تتعرض السلامة للخطر، ويتخذ الدين مسارًا جديدًا - الاستغلالات.

###بالancer: بروتوكول ذكي جدًا على نفسه؟

ما حدث مع Balancer قد يبدو وكأنه عدة استغلالات تسببت في كل الأضرار. لكن الأمر أكثر من ذلك. يتعلق الأمر بتنفيذ أصبح معقدًا للغاية واستهدف الكثير دون مراعاة العناية الواجبة الصحيحة. تبين أن البروتوكول أصبح ضحية لنجاحه الخاص؛ فالتوافقية التي تم الاحتفال بها أدت إلى المخاطر التي دمرته.

كان الخيانة في اللعب أكثر من مجرد ممثلين سيئين يتبادلون استغلال الثغرات، مما يبرز مدى مخاطر التركيب في عالم العملات الرقمية. كانت أكثر نظامية - عمليات الحوكمة التي لم تتمكن من مواكبة ثغرات الأحواض الذكية والتدابير الأمنية التي فشلت في معالجة الانفتاح المقدم.

جدل بروتوكول Balancer محفور في الحجر. ما إذا كان بإمكان DEX AMM العودة إلى المجد لا يزال سؤالاً.