5 yılda 6 kaza kaybı 100 milyonun üzerinde, eski DeFi protokolü Balancer Hacker'ın ziyaret geçmişi

Yazan: David, Shenchao TechFlow

Ev sızıntısı gece yağmuruyla denk gelir, hackerlar hep düşüş zamanını seçer.

Son zamanlarda kripto para piyasası genel olarak durgun bir ortamda, köklü DeFi protokolleri bir kez daha ağır darbe aldı.

3 Kasım'da, blok zinciri verileri, Balancer protokolünün muhtemelen bir siber saldırıya uğradığını gösterdi. Yaklaşık 7,090,000,000 dolar değerinde varlık yeni bir cüzdana aktarıldı; bunlar arasında 6,850 osETH, 6,590 WETH ve 4,260 wstETH bulunuyor.

Sonrasında Lookonchain'in izlediği ilgili cüzdan adreslerine göre, protokolün maruz kaldığı toplam kayıp miktarı 116.6 milyon dolara yükseldi.

Balancer ekibi olaydan sonra şunları belirtti:

“Balancer v2 havuzunu etkileyebilecek bir güvenlik açığı saldırısı keşfedildi, mühendislik ve güvenlik ekipleri bu olayı yüksek öncelikle araştırıyor, daha fazla bilgi elde edildikten sonra doğrulanmış güncellemeleri ve takip önlemlerini paylaşacaklar.”

Ayrıca, resmi olarak çalınan varlıkların %20'sini beyaz şapkalara ödül olarak geri almak için ödemeye istekli olduklarını ifade ettiler, 48 saat içinde geçerlidir.

Cevap çok zamanında geldi ama çok resmi.

Ancak, eğer bir DeFi eski oyuncusuysanız, “Balancer hacklendi” başlığından şaşırmazsınız, aksine garip bir déjà vu hissi yaşarsınız.

2020 yılında kurulan köklü bir DeFi protokolü olarak, Balancer son 5 yılda 6 kez güvenlik kazası yaşadı; her yıl bir kez hackerların ziyaret ettiği bir gösteri sergilendi ve bu sefer çalınan miktar en büyük olanı.

Tarihe baktığımızda, piyasa koşulları ticareti cehennem seviyesine getirirse, DeFi'de faiz kazancı elde etmenin de güvenli olmayabileceği oldukça muhtemeldir.

Haziran 2020: Deflasyonist token açığı, yaklaşık 520.000 dolar kayıp

Mart 2020'de, Balancer “esnek otomatik piyasa yapıcı” yenilikçi fikriyle DeFi dünyasına girdi. Ancak, sadece üç ay sonra, bu iddialı protokol ilk kabusunu yaşadı.

Saldırganlar, deflasyonist tokenler (Deflationary Token) için protokoldeki yanlış yönetim açığını kullanarak yaklaşık 520,000 dolar kayba neden oldular.

Temel prensip şudur ki, o dönemde STA adında bir token her transferde %1'ini otomatik olarak yakarak işlem ücreti alıyordu.

Saldırgan, dYdX hızlı krediden 104,000 ETH ödünç aldı ve ardından STA ile ETH arasında 24 kez işlem yaptı. Balancer her transfer sonrası gerçek bakiyeyi doğru hesaplayamadığı için, havuzdaki STA en sonunda yalnızca 1 wei kalacak şekilde tükendi. Ardından saldırgan, fiyatın ciddi şekilde dengesizliğinden yararlanarak, çok az miktarda STA ile büyük miktarda ETH, WBTC, LINK ve SNX aldı.

Mart 2023: Euler olayı kurbanı oldu, yaklaşık 11.9 milyon dolar kayıp.

Bu sefer Balancer dolaylı bir mağdur.

Euler Finance, 1.97 milyon dolarlık bir flash kredi saldırısına uğradı; Balancer'ın bb-e-USD havuzu, Euler'in eToken'ını bulundurduğu için etkilendi.

Euler saldırıya uğradığında, yaklaşık 11.90 milyon dolar Balancer'ın bb-e-USD havuzundan Euler'a transfer edildi ve bu havuzun TVL'sinin %65'ini oluşturdu. Balancer ilgili havuzları acil olarak durdurmasına rağmen, kayıplar zaten meydana geldi ve geri alınamaz.

Ağustos 2023: Balancer V2 havuzundaki hassasiyet açığı, yaklaşık 2.1 milyon dolar kayıp.

Bu saldırının aslında önceden bir işareti vardı. 22 Ağustos'ta Balancer, açığı aktif olarak duyurdu ve kullanıcılara fonlarını geri çekmeleri konusunda uyardı, ancak 5 gün sonra saldırı gerçekleşti.

V2 Boosted Pool ile ilgili bir yuva hatası (rounding error) söz konusudur. Saldırgan, BPT'nin (Balancer Pool Token) arz hesaplamasında sapma oluşturacak şekilde hassas bir şekilde manipüle ederek, havuzdan varlıkları haksız bir döviz kuru ile çekmiştir. Saldırı, birden fazla flash loan işlemi ile gerçekleştirilmiştir ve farklı güvenlik şirketleri kayıpları 979.000 ile 2.1 milyon dolar arasında tahmin etmektedir.

Eylül 2023: DNS kaçırma saldırısı, yaklaşık 240.000 $ zarar

Bu bir sosyal mühendislik saldırısıdır, hedef akıllı sözleşmeler değil, geleneksel internet altyapısıdır.

Hackerlar, sosyal mühendislik yöntemleriyle EuroDNS alan adı kayıt şirketini saldırıya geçirerek balancer.fi alan adını ele geçirdi. Kullanıcılar bir phishing sitesine yönlendirildi; bu site, kullanıcıları Angel Drainer kötü niyetli sözleşmesi aracılığıyla yetkilendirilmiş transfer yapmaya kandırıyor.

Saldırgan daha sonra çalınan parayı Tornado Cash aracılığıyla aklamaktadır.

Bu durum Balancer'ın hatası olmasa da, büyük ağaç rüzgarı çeker, bu protokolün markasını kullanarak oltalama yapmak da insanların dikkatini çekiyor.

2024 Haziran: Velocore hacklendi, yaklaşık 6.8 milyon dolar kayıp.

Velocore bağımsız bir proje olmasına rağmen, çalınması aslında Balancer ile pek bir ilgisi yoktu. Ancak Balancer'ın bir çatalı olarak, Velocore aynı CPMM (sabit çarpan piyasa yapıcı) havuz tasarımını kullanıyor; bu anlamda bir anlamda miras alınmış gibi, daha çok başka bir yerde çalınmış ancak mekanizması Balancer'da.

Bu olayın başlangıcı, saldırganların Velocore'un Balancer tarzı CPMM havuz sözleşmesindeki taşma açığını kullanarak, ücret çarpanını (feeMultiplier) %100'ü aşacak şekilde manipüle etmeleri ve bunun sonucunda hesaplamada hata oluşmasına neden olmalarıdır.

Saldırganlar, flash loan'lar ile dikkatlice tasarlanmış çekim işlemleri aracılığıyla yaklaşık 6,8 milyon doları çaldılar.

2025 Kasım: En son saldırı, milyar kayıp

Bu saldırının teknik prensipleri başlangıçta netleşti. Güvenlik araştırmacılarının analizlerine göre, açığın Balancer V2 protokolündeki manageUserBalance fonksiyonunun erişim kontrolü denetiminde bulunduğu ve bunun da kullanıcı izinleri denetimiyle ilişkili olduğu belirlenmiştir.

Güvenlik izleme kuruluşları Defimon Alerts ve Decurity'nin analizine göre, sistem Balancer V2'nin çekim yetkilerini doğrularken, çağrının gerçek sahibi olup olmadığını kontrol etmesi gerekirken, kod yanlışlıkla msg.sender'ın (gerçek çağrıcı) kullanıcının kendisi tarafından sağlanan op.sender parametresi ile eşit olup olmadığını kontrol etti.

op.sender kullanıcının kontrolünde bir giriş parametresi olduğundan, saldırganlar kimliklerini istedikleri gibi taklit edebilir, yetki doğrulamasını atlayabilir ve WITHDRAW_INTERNAL (iç çekim) işlemini gerçekleştirebilir.

Kısaca, bu açık, herhangi birinin herhangi bir hesabın sahibini taklit etmesine ve doğrudan iç bakiyeyi çekmesine olanak tanıyor. Beş yıldır faaliyette olan olgun bir protokolde böyle bir temel erişim kontrol hatasının ortaya çıkması, oldukça şaşırtıcı.

Hackerların Ziyareti Üzerine Düşünceler

Bu “hack tarihinden” ne öğrenebiliriz?

Yazarın hissi, kripto dünyasındaki DeFi protokollerinin, “uzaktan bakılabilir ama yakından oynanamaz” gibi olduğu; uzaktan bakıldığında sakin göründüğü, ancak gerçekten derinlemesine incelendiğinde, birçok anlatının ötesinde ödenmesi gereken teknik borçların olacağıdır.

Örneğin, Balancer gibi eski bir DeFi protokolüne baktığınızda, yeniliklerinden biri olarak en fazla 8 farklı tokenin özelleştirilmiş ağırlıklarla karışım havuzları oluşturmasına izin vermek dikkat çekiyor.

Uniswap'ın sade tasarımına kıyasla, Balancer'ın karmaşıklığı üssel olarak artmaktadır.

Her yeni token eklendiğinde, havuzun durum alanı hızla genişler. Bir havuzda 8 farklı tokenin fiyatını, ağırlığını ve likiditesini dengelemeye çalıştığınızda, saldırı yüzeyi de genişler. 2020'deki deflasyon token saldırısı ve 2023'teki yuvarlama hatası açığı, esasen karmaşıklığın getirdiği sınır koşullarının yanlış yönetimidir.

Daha da kötüsü, Balancer hızlı bir iterasyon geliştirme yolu seçti. V1'den V2'ye, ardından çeşitli Boosted Pool'lara, her yükseltme eski koda yeni işlevler ekliyor. Bu “teknik borç” birikimi, kod tabanını zayıf bir blok kulesine dönüştürüyor;

Örneğin, son zamanlarda yetki sorunları nedeniyle meydana gelen saldırılar, bu kadar temel bir tasarım hatasının 5 yıldır faaliyette olan bir protokolün sorunu olmaması gerektiğini gösteriyor; belki de bir noktada projenin kod bakımının kontrolden çıktığını ortaya koyuyor.

Belki de, anlatım, kâr ve duyguların teknolojiden daha önemli olduğu bu dönemde, alt kodda herhangi bir açık olup olmadığı artık önemli değil.

Balancer kesinlikle son olmayacak, çünkü DeFi'deki çeşitli kombinasyonların üst üste yığdığı kara kuğunun ne zaman geleceğini asla bilemezsiniz. DeFi dünyasındaki karmaşık bağımlılık ağları, risk değerlendirmesini neredeyse imkansız hale getiriyor.

Balancer'ın koduna güveniyorsanız, onun tüm entegrasyonlarına ve iş ortaklarına da güvenebilir misiniz?

İzleyiciler için DeFi, yeni bir sosyal deney; katılımcılar için DeFi'nin çalınması pahalı bir ders; tüm sektör içinse DeFi'nin sağlıklı olması, olgunlaşma yolunda ödenmesi gereken bir öğrenim ücreti.

Sadece bu öğrenim ücreti, umarım çok pahalı olmaz.