Balancer объявил о компенсационном плане на 8 миллионов долларов: путь залога после уязвимости на 110 миллионов долларов

После атаки с уязвимостью на сумму 110 миллионов долларов, Balancer DAO официально запустил программу возврата активов на сумму 8 миллионов долларов, охватывающую мультицепочные активы, такие как Ethereum, Polygon, Base и Arbitrum. Это событие привело к резкому падению общей заблокированной стоимости протокола (TVL) с 775 миллионов долларов до 258 миллионов долларов, а цена токена BAL упала примерно на 30%. Это третий крупный инцидент безопасности в истории Balancer и одно из пяти самых крупных происшествий в области Децентрализованных финансов в 2024 году, которое выявило продолжающуюся уязвимость смарт-контрактов централизованных бирж.

Анализ рамок компенсации: спасение белых шляп и механизм возврата пользователям

Предложение о компенсации, представленное участником Balancer DAO Xeonus, показывает, что 8 миллионов долларов восстановленных активов будут распределены пропорционально на основе снимка данных о позициях в пуле на момент возникновения уязвимости. Это предложение соответствует ранее принятому протоколу «Безопасная гавань», в котором четко указано, что максимальное вознаграждение для белых хакеров составляет 1 миллион долларов за одно событие, и участники должны пройти полное KYC и проверку на санкции. Следует отметить, что несколько анонимных спасателей в сети Arbitrum решили отказаться от получения вознаграждения, продемонстрировав самообладание криптосообщества.

Компенсационные активы охватывают различные токены, такие как WETH, rETH, WPOL и MaticX, пользователи получат компенсацию, полностью соответствующую типу их оригинальных вложенных активов. DAO разрабатывает специальный механизм подачи заявок, который будет реализован только после одобрения сообществом путем голосования. С технической точки зрения, этот механизм потребует от пользователей принятия обновленных условий обслуживания, чтобы обеспечить законность и соответствие процесса компенсации. Такой дизайн защищает права пользователей и создает защитную сеть для возможных юридических споров в будущем.

Кроме распределения в 8 миллионов долларов, которым руководит DAO, еще 19,7 миллиона долларов активов osETH и osGNO были успешно спасены белыми хакерами StakeWise и будут обрабатываться через независимые каналы. Кроме того, внутренняя команда Balancer в сотрудничестве с компанией безопасности Certora вернула 4,1 миллиона долларов, но не соответствует условиям получения вознаграждения белых хакеров из-за предварительного сервисного соглашения. Такой многоуровневый подход демонстрирует гибкость децентрализованных организаций в ответ на кризис.

Ключевые данные для возврата активов в связи с инцидентом

• Общая сумма убытков: более 110 миллионов долларов
• DAO распределяемая сумма: 8 миллионов долларов (составляет около 7.3% от убытков)
• Сумма спасения белых шляп: 19,7 миллионов долларов США (StakeWise)
• Восстановленная сумма: 410 миллионов долларов США (в сотрудничестве с Certora)
• Сетевое покрытие: Ethereum, Polygon, Base, Arbitrum
• Затронутые токены: WETH, rETH, WPOL, MaticX и др.

Корни уязвимости и глубокая оценка влияния протокола

Уязвимость 3 ноября возникла из-за недостатков контроля доступа в умном контракте страхового пула Balancer v2, что позволило злоумышленникам незаконно вывести большое количество ликвидных средств через механизм обхода разрешений. Эксперты по безопасности блокчейна отмечают, что эта уязвимость является典型ным логическим сбоем, а не сложной криптографической атакой, что указывает на явные недостатки в аудите кода и тестовых сетевых учениях протокола. Как когда-то одна из пяти крупнейших децентрализованных бирж, этот инцидент с безопасностью Balancer вновь вызвал сомнения на рынке относительно надежности инфраструктуры DeFi.

Согласно данным протокола, последствия уязвимости оказались крайне серьезными. Общая закрытая позиция упала на 66,7% после события, снизившись с пиковых 775 миллионов долларов до 258 миллионов долларов, и многие поставщики ликвидности решили вывести свои средства. Рыночные показатели родного токена BAL также печальны, около 30% его стоимости испарились, что привело к двойным убыткам для держателей. Восстановление доверия потребует времени, особенно учитывая, что это уже третий крупный инцидент безопасности в истории Balancer.

Сравнительный анализ показывает, что восстанавливаемость Balancer подвергнется серьезным испытаниям. Ссылаясь на траекторию восстановления Curve после аналогичной уязвимости в июле 2023 года, его TVL потребовалось 6 месяцев, чтобы вернуться к 70% уровня до инцидента. Однако Balancer сталкивается с более сложными вызовами, ему необходимо не только устранить технические уязвимости, но и восстановить доверие сообщества, а также заново определить свою ценность на все более конкурентном рынке DEX.

Исторический анализ уязвимостей и эволюция управления

Проблемы безопасности Balancer не являются случайными. В июне 2021 года протокол потерял 500 тысяч долларов из-за уязвимости повторного входа в смарт-контракты; в августе 2022 года фронтальная атака привела к утечке 238 тысяч долларов. Три последовательных крупных инцидента безопасности создают ясную картину: по мере усложнения функций протокола увеличивается поверхность атаки, в то время как меры безопасности не успевают обновляться. Накопление этого технического долга в конечном итоге достигло своего пика в этом уязвимости на 110 миллионов долларов.

С точки зрения управления, механизм реакции Balancer DAO на проблемы безопасности постепенно становится более зрелым. Предложенный план компенсации заимствовал опыт предыдущего “Протокола безопасной гавани”, установив стандартный процесс сотрудничества с белыми хакерами. По сравнению с тем, что план компенсации был представлен только через три месяца после событий 2022 года, скорость реакции в этот раз значительно улучшилась, что показывает способность децентрализованного управления к обучению в управлении кризисами.

Однако баланс между эффективностью управления и инвестициями в безопасность все еще остается неразрешенной проблемой. Записи в блокчейне показывают, что до возникновения уязвимости сообщество обсуждало предложение о увеличении бюджета на безопасность, но в конечном итоге оно не было принято из-за соображений стоимости. Это явление “недостаточных инвестиций в безопасность” довольно распространено в области Децентрализованных финансов (DeFi), так как разработчики проектов часто недооценивают скорость накопления системных рисков, стремясь к инновациям в функциях и расширению экосистемы.

Предостережение и уроки безопасной экосистемы DeFi

Событие Balancer является одним из крупнейших инцидентов безопасности в области Децентрализованных финансов в 2024 году, и его влияние выходит за рамки отдельного Протокола. Согласно статистике агентств безопасности, за первые 11 месяцев 2024 года убытки в области Децентрализованных финансов из-за уязвимостей превысили 1,8 миллиарда долларов, что на 27% больше по сравнению с аналогичным периодом прошлого года. Эта тенденция показывает, что, несмотря на постоянное совершенствование технологий безопасности, технологии атакующих также совершенствуются, создавая соревнование “кто выше - тот и сильнее”.

С точки зрения лучших практик в отрасли, управление мультиподписями, механизмы временной блокировки и программы вознаграждений за уязвимости стали стандартной безопасной конфигурацией для протоколов DeFi. Однако случай Balancer показывает, что даже при использовании этих мер невозможно полностью устранить риски. Новые меры безопасности, такие как формальная верификация и системы постоянного мониторинга, получают все большее внимание, но высокая стоимость внедрения делает их труднодоступными для малых и средних протоколов.

Страховой протокол сыграл ограниченную, но важную роль в этом инциденте. Некоторые пострадавшие поставщики ликвидности получили компенсацию через децентрализованные страховые платформы, такие как Nexus Mutual, но между страховым покрытием и фактическими убытками по-прежнему существует огромный разрыв. Этот недостаток защиты отражает то, что глубина и ликвидность рынка DeFi-страхования все еще ограничены и не могут полностью удовлетворить требования по компенсации в случае массовых уязвимостей.

Камень преткновения управления кризисами и устойчивости отрасли

Компенсационный план Balancer на 8 миллионов долларов, хотя и не может полностью компенсировать потери пользователей, установил новую базу для реагирования на кризисы в экосистеме Децентрализованных финансов. После трех крупных инцидентов с безопасностью накопленный протоколом опыт экстренного реагирования стал ценным активом для отрасли. С увеличением давления со стороны регуляторов и повышением осознания безопасности среди пользователей, сможет ли безопасность превратиться из конкурентного преимущества в базовый порог, определит жизненное пространство для протоколов следующего поколения DeFi. Для всей области децентрализованных финансов путь восстановления Balancer — это не только самоспасение протокола, но и лакмусовая бумажка, проверяющая способность DeFi действительно взять на себя ответственность за будущее финансовой инфраструктуры.