Balancer denetimi 11 kez yapılmasına rağmen hacklendi! 1.16 milyar açık, TVL'nin büyük düşüşüne neden oldu %67

Balancer v2 cüzdanı büyük bir güvenlik açığı nedeniyle saldırıya uğradı ve bunun sonucunda 1.16 milyon doların üzerinde fon kaybı yaşandı. Haftalar sonra, Balancer DAO etkilenen LP'lere yaklaşık 800 bin dolar geri kazanılan varlık dağıtımını içeren bir plan tartışmaya başladı. Öneri, beyaz şapkalı hackerlara yapılandırılmış ödüller sunmayı ve güvenlik açığı kullanıldığında kullanıcı havuz varlıklarının Anlık Görüntü verilerine dayanarak kullanıcılara tazminat sağlamayı içermektedir.

Balancer üçüncü büyük güvenlik olayını yaşadı

(Kaynak: GitHub)

Bu güvenlik açığı, akıllı sözleşme hatasından kaynaklanıyor ve Balancer'ın üçüncü büyük güvenlik olayıyla karşılaştığını gösteriyor. Üçüncü büyük güvenlik olayı gerçeği kendisi oldukça ironik olup, Balancer'ın güvenlik önlemleri konusunda sistematik sorunlar yaşadığını ortaya koyuyor. Balancer platformunun GitHub sayfasına göre, Balancer'ın kodu dört farklı blockchain güvenlik şirketi tarafından 11 kez incelenmiştir.

Denetimden geçmesine rağmen, platform hala bir siber saldırıya uğradı ve bu, bazı kripto para kullanıcılarının denetim değerine ve bunun gerçekten kod güvenliğini sağlayıp sağlamadığına dair şüphelerini artırdı. Bu durum, tüm DeFi endüstrisi için bir uyarı niteliği taşıyor: Akıllı sözleşme denetimi önemli bir güvenlik önlemi olmasına rağmen, tamamen güvenli değildir. Denetim şirketleri karmaşık açıkları gözden kaçırabilir veya saldırganlar yeni sömürü yöntemleri keşfedebilir.

5 Kasım'da Balancer, bu saldırının temel nedenlerini özetleyen bir sonrası analiz raporu yayınladı: Stabilcoin havuzundaki EXACT_OUT borsasında kullanılan yuvarlama fonksiyonuna yönelik karmaşık bir açık. Bu yuvarlama fonksiyonunun tasarımı, token fiyatları girilirken aşağı yuvarlamak içindi, ancak saldırgan, hesaplama sürecini değiştirmeyi başardı ve yukarı yuvarlanmasına neden oldu. Saldırgan, bu açığı toplu işlemlerle (birden fazla işlemi içeren tek bir işlem) birleştirerek Balancer'ın fon havuzundan fon çaldı.

Bu tür bir saldırının karmaşıklığı, 11 denetimin neden sorunu tespit edemediğini açıklar. Yuvarlama fonksiyonunun mantığı, tek başına incelendiğinde normal görünebilir, ancak toplu işlem mekanizması ile birleştirildiğinde, kullanılabilir bir zafiyet ortaya çıkar. Bu tür çok işlevli karmaşık etkileşimler, genellikle denetçilerin en zor tespit ettiği kör noktalardır.

Ve toplam kilitli değer yaklaşık 775 milyon dolardan 258 milyon dolara düşerek %67'lik bir düşüş yaşadı. Bu büyüklükteki TVL kaybı, yatırımcıların Balancer'a duyduğu güvenin ciddi şekilde sarsıldığını gösteriyor. BAL token'in değeri de yaklaşık %30 kaybetti ve bu durum, pazarın protokolün geleceğine dair karamsar beklentilerini yansıtıyor. Blockchain ağ güvenlik şirketi Cyvers'in CEO'su Deddy Lavid'e göre, Balancer saldırısı 2025 yılının “en karmaşık” saldırılarından biri olarak nitelendirildi ve bu durum, güvenlik tehditlerinin sürekli evrim geçirmesiyle birlikte, kripto para kullanıcılarının güvenliğinin önemini vurguluyor.

800 milyon dolar tazminat planı ve beyaz şapkalı hacker ödül mekanizması

(Kaynak: Balancer)

Balancer v2 cüzdanı, büyük bir güvenlik açığı nedeniyle saldırıya uğradı ve bu, birkaç hafta içinde 1.16 milyon doların üzerinde fon kaybına yol açtıktan sonra, Balancer DAO etkilenen LP'lere yaklaşık 800 bin dolar değerinde geri kazanılan varlıkların nasıl dağıtılacağına dair bir plan üzerinde tartışmalara başladı. Bu öneri, 1 Kasım'daki 1.16 milyon dolarlık hacker saldırısından geri kazanılan yaklaşık 800 bin doların mağdurlara nasıl dağıtılacağını ayrıntılı olarak açıklamaktadır. Balancer protokolü topluluğunun iki üyesi, Perşembe günü bu protokolün 1 Kasım'daki 1.16 milyon dolarlık güvenlik açığından geri kazanılan fonların bir kısmının dağıtım planını özetleyen bir öneri sundu.

1.16 milyon dolarlık soygun olayında, yaklaşık 28 milyon dolar beyaz şapkalı hackerlar, iç kurtarma personeli ve Ethereum likidite staking platformu StakeWise tarafından geri alındı. Ancak, bu teklif yalnızca beyaz şapkalı hackerlar ve iç kurtarma ekiplerinin geri aldığı 8 milyon doları kapsamaktadır; StakeWise tarafından geri alınan yaklaşık 20 milyon dolar ise kullanıcılarına ayrı olarak dağıtılacaktır. Bu ayrı işleme stratejisi, farklı geri alma yollarının karmaşıklığını ve hukuki değerlendirmelerini yansıtmaktadır.

Fonların Geri Alınma Dağılım Yapısı

Beyaz Şapkalı Hacker + İç Yardım: Yaklaşık 8 milyon dolar, etkilenen LP'ye bu teklif doğrultusunda dağıtılacaktır.

StakeWise Geri Alımı: 19,7 milyon dolar değerindeki osETH ve osGNO, StakeWise kullanıcılarına tahsis edilen ayrı işlemler.

Certora İşbirliği Geri Alımı: 4.1 milyon dolar, önceki bir anlaşmanın ödül koşullarını karşılamadığı için.

Toplam Geri Alınan Miktar: Yaklaşık 28 milyon dolar (kayıpların %24'ü)

Kayıplar Geri Alınmadı: Yaklaşık 88 milyon dolar (kayıpların %76'sı)

Bu öneri, beyaz şapkalı hackerlara yapılandırılmış ödüller sunmayı ve kullanıcı havuzunun varlık anlık görüntü verilerine dayanarak kullanıcıları tazmin etmeyi içermektedir; bu, Güvenli Liman Anlaşması ile uyumludur. Anlaşma, her olay için ödül sınırını 1.000.000 ABD Doları olarak belirlemekte ve beyaz şapkalı hackerların kapsamlı bir KYC ve yaptırım kontrollerini tamamlamasını gerektirmektedir. Bu yapılandırılmış ödül mekanizması, beyaz şapkalı hackerları, açıkları keşfettiklerinde sorumlu bir şekilde bildirimde bulunmaya teşvik etmeyi amaçlamaktadır, kendi çıkarları için kullanmak yerine.

Arbitrum'da birkaç anonim kurtarıcı ödül talebinden vazgeçti. Bu tür yüksek ahlaklı davranış, kripto topluluğunda övgüyle karşılanıyor ve tüm beyaz şapkalı hackerların ekonomik çıkarlar için değil, bazı insanların ekosistemin güvenliğini korumak için hareket ettiğini gösteriyor. Geri kazanılan token'lar Ethereum, Polygon, Base ve Arbitrum gibi ağları kapsıyor, likidite sağlayıcıları ilk sağladıkları token'lara göre, havuz başına orantılı olarak tazminat alacaklar.

Tazminat Mekanizmasının Teknik Detayları ve Tartışmaları

Yazar, tüm tazminatların sosyalize edilmemesi gerektiğini önermektedir; bu, fonların yalnızca kaybedilen fonların belirli likidite havuzuna dağıtılacağı ve her bir sahibin likidite havuzundaki hisselerine göre orantılı olarak Balancer Pool Tokens (BPT) cinsinden ödeneceği anlamına gelir. Bu tasarım adalet sağlar ve “zenginlerden alıp fakirlere verme” tarzı sosyalize kayıp paylaşımını önler.

Yazar, tazminatın da fiziksel bir biçimde ödenmesi gerektiğini düşünüyor. Hacker saldırısının kurbanları, kaybettikleri token'lar üzerinden değer hesaplanan tazminat almalı, böylece farklı dijital varlıklar arasında fiyat uyumsuzluğu önlenmiş olur. Bu detay son derece önemlidir, çünkü eğer tüm kurbanlara tek bir token (örneğin ETH veya USDC) ile tazminat ödenirse, token fiyatlarındaki dalgalanma nedeniyle yeni bir adaletsizlik oluşabilir. Örneğin, bir LP'nin kaybettiği stabil coin iken, aldığı tazminat dalgalı bir varlık olursa, bu uyumsuzluk gerçek tazminat değerinin kayıpla örtüşmemesine neden olabilir.

Şu anda tazminat mekanizması geliştirilmektedir, eğer öneri kabul edilirse, kullanıcıların güncellenmiş hizmet şartlarını kabul etmesi gerekecek. Bu süreç, teknik detayları ve hukuki çerçeveyi tamamlamak için birkaç hafta sürecektir. Tazminat mekanizması, her mağdurun kimliğini ve kayıp miktarını doğrulamayı gerektirir, bu merkeziyetsiz bir ortamda kolay bir iş değildir.

Ayrıca, 1.970.000 dolarlık osETH ve osGNO, StakeWise tarafından geri alındı ve ayrı olarak işlenecek. Bu fonların bir kısmı StakeWise platformunun kullanıcılarıyla doğrudan ilişkilidir, bu nedenle dağıtım mantığı genel LP'den farklıdır. Certora ile ortaklaşa geri alınan 4.100.000 dolar, daha önce bir anlaşma olduğu için ödül koşullarına uymamaktadır. Bu, Certora'nın Balancer'ın güvenlik ortağı olabileceğini gösteriyor; fonların geri alınmasına yardımcı olmaları mevcut iş birliği anlaşmasına dayanmaktadır, beyaz şapkalı ödül programına değil.

DeFi güvenlik denetiminin sistemik kusurları açığa çıkıyor

Balancer platformının GitHub sayfasına göre, Balancer'ın kodu dört farklı blok zinciri güvenlik şirketi tarafından 11 kez denetlendi. Denetimden geçirilmiş olmasına rağmen, platform hala bir siber saldırıya uğradı ve bu, bazı kripto para kullanıcılarının denetimlerin değerine ve bunların gerçekten kod güvenliğini sağladığına dair şüphelerini artırdı. Bu durum, mevcut DeFi güvenlik denetimlerinin sistematik eksikliklerini vurgulamaktadır.

Denetim şirketleri genellikle sınırlı zaman ve bütçe içinde kodu incelerler, bilinen güvenlik açıkları ve yaygın güvenlik sorunlarına odaklanırlar. Ancak, Balancer gibi karmaşık çok işlevli açıkların tespit edilmesi, tüm sistemin derinlemesine dinamik testler ve saldırı simülasyonları ile incelenmesini gerektirebilir. Ayrıca, denetim raporunun güncelliği de bir sorundur; denetimden sonra kod güncellenmeye devam edebilir ve yeni değişiklikler yeni güvenlik açıkları ortaya çıkarabilir.

Daha derin bir sorun, denetim endüstrisinin kendisinin birleşik standartlar ve sorumluluk mekanizmalarından yoksun olmasıdır. Denetim şirketleri genellikle raporlarda, denetimin kodun tamamen güvenli olduğunu garanti etmediğini belirten bir feragatname ekler. Bu sorumluluk eksikliği, denetim başarısız olsa bile denetim şirketlerinin çok az somut sonuçlarla karşılaşmasına neden olmaktadır. Balancer olayı, endüstrinin denetim standartlarını ve sorumluluk dağılımını yeniden gözden geçirmesini teşvik edebilir.

5 Kasım'da yayımlanan son analiz raporu, saldırının teknik detaylarını ortaya koydu. Bu yuvarlama fonksiyonunun tasarımı, giriş token fiyatlarını aşağı yuvarlamak amacıyla yapılmıştı, ancak saldırganlar hesaplama sürecini değiştirerek yukarı yuvarlamayı başardılar. Saldırganlar bu açığı toplu işlemlerle birleştirerek Balancer'ın fon havuzundan para çaldılar. Bu saldırı yöntemi son derece karmaşık olup, Balancer'ın kod mantığına derin bir anlayış gerektirmekte ve farklı işlev kombinasyonlarının neden olduğu beklenmedik davranışları keşfetme yeteneği istemektedir.