Balancer V2 Açığı ve Sonuçları

Balancer Popüler merkezi olmayan borsa, otomatik yeniden dengeleme likidite havuzları ve token teşvikli likidite ödülleri mekanizmasıyla öne çıkar. Son zamanlarda, V2 sürümündeki likidite hazinesi hırsızlığa uğradı ve on milyonlarca dolar kayıp yaşandı.

Birçok Balancer V2 çatal protokolü (yani Balancer kodunu yeniden kullanan alternatif borsalar) da etkilendi; çeşitli blok zincirleri, sonraki kayıpları azaltmak için sert önlemler aldı.

Bu olay neden kripto sektöründe zincirleme bir tepki yarattı? Aşağıda detaylı analiz edilecektir.

Balancer’ın Büyük Hatası

3 Kasım Pazartesi sabahı, Eter, Base, Polygon ve Arbitrum gibi zincirlerde kurulu Balancer V2 hazinesi, açıklar nedeniyle saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Sorun yalnızca V2 sürümündeki “birleşebilir stabil havuzlar”da mevcut olup, Balancer V3 ve diğer havuzları etkilemedi.

Veri analiz platformu DeFiLlama’ya göre, Balancer V2 toplam 27 bağımsız çatal protokolü içeriyor. Çoğu çatal protokolünün kilitli varlık miktarı önemsiz olsa da, saldırganlar Sonic ekosistemindeki Beets protokolünden 3.4 milyon dolar, Optimism ekosistemindeki Beethoven protokolünden ise 283 bin dolar çaldı. Ayrıca, Berachain zincirinde kurulu Balancer tabanlı yerel borsa BEX, yaklaşık 12 milyon dolar kullanıcı fonu riski altında.

Makale yazılırken, Balancer resmi bir olay sonrası analiz raporu yayınlamadı; bazı görüşler, açığın temelinde “manageUserBalance” fonksiyonundaki erişim denetimindeki eksikliklerin yattığını öne sürüyor; başka bir görüşe göre, saldırı, Balancer havuz token fiyatlarındaki “değişmezlik manipülasyonu”ndan kaynaklandı.

Açık saldırısı sonrası, Balancer ve çatal protokolleri kullanıcıları, varlıklarını korumak amacıyla acil önlemler aldı. Üç yıl uyuyan dev balina kullanıcısı, saldırıdan 30 dakika sonra tek seferlik işlemle Balancer’dan toplam 6.5 milyon dolar GNO-WETH varlığını çekti.

Kayıpları sınırlamak amacıyla, bazı blok zincirleri aşırı önlemler aldı — bu sert önlemler, kriz yönetimi ile merkezileşmiş kontrol arasındaki sınırları bulanıklaştırdı:

Polygon’un Balancer V2 kurulumunda yaklaşık 100 bin dolar kayıp yaşandı, ancak ağ doğrulayıcıları, hacker’ın işlemlerini inceleyerek, çalınan dijital varlıkları fiilen dondurdu;

Sonic, yerel token “S”’nin mantığını değiştirdi ve Sonic Vakfı’nın, cüzdan adreslerini kara listeye alma (yerel token tutmayı yasaklama) yetkisini tek taraflı olarak kullanmasını sağladı; saldırganın S token bakiyesi ise sıfırlandı;

Aynı zamanda, Berachain tüm ağda blok üretimini tamamen durdurdu ve BEX (Berachain resmi yerel borsa) üzerinde daha fazla varlık kaybını önlemek amacıyla blok üretimini askıya aldı.

Balancer’ın Ortaya Çıkardığı Temel Sorular

Bu Balancer açığı saldırısı, tüm merkezi olmayan finans sektörüne iki temel soru yöneltti.

Soru 1: Eğer Balancer V2 kolayca saldırıya uğrayabiliyorsa, diğer hangi Merkezi Olmayan Finans protokolleri güvenli?

Balancer V2, dört yılı aşkın süredir faaliyet gösteren ve birçok bağımsız kuruluş tarafından akıllı sözleşme denetiminden geçmiş bir protokol. Bu kadar güvenilir bir protokol bile kolayca saldırıya uğrayabiliyorsa, — başka hangi Merkezi Olmayan Finans protokolleri gerçekten güvenli?

Kripto kullanıcıları, blockchain’in sağladığı kolaylıklardan yararlanırken, bir Merkezi Olmayan protokolün temelinde yer alan açıklar, yıllarca denetçiler tarafından göz ardı edilirse, güvenlik konusunda giderek daha fazla şüphe duyulacaktır.

Soru 2: Eğer bazı blok zincirleri hacker’ların fonlarını dondurma yetkisine sahipse, düzenleyici kurumlar neden “yasadışı faaliyetleri” zorla donduramaz?

Polygon, Sonic, Berachain gibi blok zincirleri saldırganların fonlarını dondurma yetkisine sahipse, finansal düzenleyici kurumlar neden bu ve benzeri merkeziyetsizliği yüksek blok zincirlerini, “yasa dışı faaliyetleri” tespit edip, zorla dondurma konusunda zorlamasın?

2023 Mart ayında, MakerDAO’nun ön yüz platformu Oasis.app (şimdi Summer.fi olarak değişti), İngiltere ve Galler yüksek mahkemesinin emriyle, yönetici anahtar arka kapısı kullanarak, kendi akıllı sözleşmelerine erişti ve Wormhole çapraz zincir köprüsü saldırısından 225 milyon dolar kripto varlık geri aldı.

Bu olay, geleneksel hukuk sistemlerinin, tehditleri tutuklama veya diğer yasal sonuçlar yoluyla, merkeziyetsiz protokollerin belirli eylemlerini zorla yaptırabileceğini gösteriyor. Günümüzde, düzenleyici kurumlar bu modeli takip edip, sadece mahkeme emriyle, çok zincirli platformlarda yasa dışı kabul edilen (örneğin, hükümet denetimi veya kimlik doğrulaması olmayan) işlemlere karşı önlem alabilir mi?