Balancer terkena serangan senilai 1,16 juta dolar! 11 kali audit gagal memicu Krisis Kepercayaaan Diri Keuangan Desentralisasi

DEX dan AMM Balancer diserang, mengakibatkan 1,16 juta dolar aset digital dicuri, memicu Krisis Kepercayaaan Diri DeFi. Sejak 2021, perusahaan keamanan OpenZeppelin, Trail of Bits, Certora, dan ABDK telah melakukan 11 audit terhadap smart contract Balancer, tetapi dana tetap dicuri.

Rincian teknis dari serangan celah senilai 1,16 juta dolar

(sumber: Lookonchain)

Insiden eksploitasi yang dilaporkan lebih awal pada 3 November menyebabkan pencurian lebih dari 116 juta dolar AS dalam staked ether. Menurut log Etherscan, token tersebut dipindahkan ke dompet baru melalui tiga transaksi. Nansen menyatakan dalam sebuah postingan X pada hari Senin bahwa transfer ini mencakup 6.850 StakeWise staked ETH (OSETH), 6.590 Wrapped Ether (WETH), dan 4.260 Lido wstETH (wSTETH).

Menurut platform data blockchain Lookonchain, hingga Senin pukul 8:52 UTC, serangan yang terus menerus ini telah memperluas dana yang dicuri menjadi lebih dari 116,6 juta dolar AS. Analis riset Nansen, Nicolai Sondergaard, mengatakan kepada Cointelegraph bahwa kerentanan Balancer mungkin berasal dari masalah smart contract, yang memiliki “kesalahan pemeriksaan akses yang memungkinkan penyerang mengirim perintah untuk menarik dana.” Dia juga menambahkan: “Menurut pengamatan saya, kerugian sekarang telah melebihi 100 juta dolar AS dan mempengaruhi Balancer V2 serta berbagai versi fork-nya.”

Kerentanan kontrol akses adalah salah satu cacat keamanan yang paling umum namun paling fatal dalam smart contract. Kerentanan semacam ini memungkinkan pengguna yang tidak berwenang untuk memanggil fungsi yang seharusnya dibatasi, sehingga melakukan tindakan istimewa, seperti menarik dana, mengubah parameter, atau menghancurkan token. Dalam kasus Balancer, penyerang jelas memanfaatkan kesalahan pemeriksaan akses dalam V2 pool stabil yang dapat dikombinasikan, melewati mekanisme verifikasi izin yang normal, dan langsung menarik aset yang dipertaruhkan dari pool.

Balancer mengupdate pengguna mengenai informasi tentang kerentanan dalam pos X yang dirilis pada hari Senin, menyatakan bahwa kejadian tersebut “hanya terbatas pada V2 Kombinasi Stabil Pool, dan tidak akan mempengaruhi Balancer V3 atau pool Balancer lainnya.” Pernyataan ini bertujuan untuk menenangkan pengguna, mencegah kepanikan menyebar ke seluruh protokol. Namun, V2 Kombinasi Stabil Pool sebagai salah satu produk inti Balancer, dampak dari serangan tersebut tetap sangat serius.

Mengapa 11 kali audit tidak dapat mencegah serangan

Platform tersebut juga menyatakan bahwa mereka “telah menerima audit yang luas dari perusahaan terkemuka, dan telah lama memiliki program hadiah kerentanan untuk mendorong auditor independen”, yang menimbulkan pertanyaan tentang bagaimana kerentanan tersebut dimanfaatkan. “Balancer telah mengalami lebih dari sepuluh kali audit,” kata Suhail Kakar, kepala hubungan pengembang blockchain TAC, “perbendaharaan telah diaudit oleh berbagai perusahaan sebanyak tiga kali, tetapi tetap diserang oleh peretas, dengan kerugian mencapai 110 juta dolar. Bidang ini perlu memahami bahwa 'telah diaudit X kali' hampir tidak berarti apa-apa. Kode itu rumit, DeFi lebih rumit.”

Menurut daftar audit Balancer V2 yang tersedia di GitHub, empat perusahaan keamanan yang berbeda—OpenZeppelin, Trail of Bits, Certora, dan ABDK—telah melakukan 11 kali audit terhadap smart contract platform tersebut, dengan audit terbaru dilakukan oleh Trail of Bits pada September 2022 terhadap kolam stabilnya. Frekuensi audit ini sudah dianggap sangat tinggi dalam protokol DeFi, tetapi masih belum dapat mencegah terjadinya serangan.

Kasus ini mengungkapkan keterbatasan fundamental dari audit smart contract. Pertama, audit biasanya bersifat titik waktu, hanya dapat menemukan masalah yang ada saat audit, tidak dapat mencakup pembaruan kode atau peningkatan protokol yang terjadi setelahnya. Kedua, kemampuan dan waktu yang diinvestasikan oleh auditor terbatas, smart contract yang kompleks mungkin mengandung ribuan baris kode dan interaksi logika yang rumit, sehingga auditor sulit untuk menemukan semua potensi kerentanan. Ketiga, beberapa kerentanan hanya akan muncul dalam kondisi pasar tertentu atau skenario interaksi, sementara audit biasanya hanya dapat menguji skenario terbatas.

Keuangan Desentralisasi audit sistem lima besar keterbatasan

Masalah Ketepatan Waktu: Pembaruan kode setelah audit dapat memperkenalkan kerentanan baru

Tantangan Kompleksitas: Ribuan baris kode dan logika kompleks sulit untuk diperiksa secara menyeluruh

Cakupan skenario tidak cukup: Tidak dapat menguji semua kemungkinan kombinasi interaksi

Insentif Ekonomi yang Tidak Seimbang: Biaya audit tetap, tidak ada penghargaan tambahan untuk menemukan celah.

Tanggung jawab yang tidak jelas: Laporan audit biasanya memiliki klausul pembebasan, setelah terjadi masalah, perusahaan audit jarang mengambil tanggung jawab.

Cointelegraph telah menghubungi OpenZeppelin untuk meminta komentar, tetapi belum menerima tanggapan hingga berita ini diterbitkan. Juru bicara Trail of Bits menolak untuk berkomentar tentang kerentanan ini, “sampai penyebab mendasar ditemukan dan semua fork Balancer aman.” Sikap hati-hati ini dapat dimengerti, karena komentar yang terlalu cepat dapat memicu sengketa tanggung jawab hukum.

20% strategi pemulihan hadiah topi putih dan ancaman penegakan hukum

（sumber：Etherscan）

Untuk mengembalikan dana, tim di belakang Balancer menawarkan hadiah hingga 20% dari dana yang dicuri, dengan syarat bahwa seluruh jumlah setelah potongan hadiah segera dikembalikan. Strategi hadiah penjahat putih ini telah berhasil beberapa kali di bidang Keuangan Desentralisasi, seperti Poly Network yang berhasil memulihkan seluruh dananya setelah dicuri sebesar 610 juta dolar AS pada tahun 2021 melalui negosiasi. Namun, apakah proporsi hadiah 20% cukup untuk menarik penyerang untuk mengembalikan dana tergantung pada identitas dan motivasi penyerang.

Tim Balancer mengeluarkan pemberitahuan transaksi blockchain pada hari Senin, memberi tahu penyerang bahwa jika penyerang mengembalikan semua dana yang dicuri dalam waktu 48 jam setelah pemberitahuan dirilis, mereka akan menawarkan hadiah bug bounty hingga 20% dari dana yang dicuri. Jendela waktu 48 jam dirancang untuk menciptakan rasa urgensi, mendorong penyerang untuk membuat keputusan dengan cepat. Namun, batas waktu ini juga dapat memberikan tekanan kepada penyerang, memaksa mereka untuk mempercepat pemindahan dana, yang justru meningkatkan kesulitan untuk memulihkan dana.

Balancer menyatakan: “Jika Anda memilih untuk tidak berkolaborasi, kami telah mempekerjakan ahli forensik blockchain independen dan sedang aktif bekerja sama dengan beberapa lembaga penegak hukum dan mitra regulator.” Balancer mengatakan dalam penjelasan transaksi blockchain pada hari Senin: “Mitra kami sangat yakin bahwa melalui metadata log akses yang dikumpulkan oleh infrastruktur kami, identitas Anda dapat diidentifikasi, metadata ini akan menunjukkan koneksi dari sekumpulan alamat IP/ASN yang telah ditentukan serta stempel waktu masuk yang terkait dengan aktivitas transaksi di blockchain.”

Strategi ancaman ini efektif dalam beberapa kasus, tetapi juga bisa menjadi bumerang. Jika penyerang adalah tim peretas profesional, mereka biasanya telah mengambil langkah-langkah anonim yang memadai, termasuk menggunakan VPN, jaringan Tor, dan layanan pencampuran. Meskipun forensik blockchain dapat melacak aliran dana, untuk menentukan identitas asli penyerang tetap sangat sulit. Hingga berita ini ditulis, proyek tersebut belum mengumumkan informasi pembaruan tentang hadiah atau rincian eksploitasi.

Insiden Serangan Sejarah Balancer Mengungkap Masalah Keamanan Sistemik

Ini bukan pertama kalinya Balancer diserang. Dua tahun lalu, situs web frontend Balancer mengalami serangan sistem nama domain (DNS), yang saat itu diungkapkan oleh protokol tersebut. Hacker mengalihkan pengguna situs web ke situs phishing yang terkait dengan smart contract jahat, yang bertujuan mencuri dana pengguna. Menurut detektif blockchain ZachXBT, sekitar 238.000 dolar AS dalam aset digital dicuri dalam serangan phishing ini.

Pada bulan Agustus 2023, Balancer mengalami serangan kerentanan hampir 1 juta dolar, dan hanya seminggu sebelumnya, protokol tersebut baru saja mengungkapkan “kerentanan serius” yang terkait dengan beberapa kolam likuiditasnya. Pola “kerentanan yang baru diungkapkan langsung diserang” ini sangat ironis, menunjukkan bahwa mungkin ada masalah dalam proses pengungkapan kerentanan itu sendiri. Setelah mengungkapkan kerentanan secara publik, protokol perlu memberikan waktu kepada pengguna untuk memindahkan dana atau memperbarui kontrak, tetapi jendela waktu ini juga memberikan kesempatan kepada penyerang untuk memanfaatkan kerentanan.

Pada bulan Juni 2020, Balancer mengalami serangan peretasan yang mengakibatkan pencurian Ethereum dan token lainnya senilai 500.000 dolar AS. Ini adalah serangan pinjaman kilat yang berbasis pada token deflasi Statera (STA), di mana 1% dari setiap transaksi secara otomatis dihancurkan. Serangan ini memanfaatkan cacat logika Balancer dalam menangani token deflasi, dan penyerang memperbesar dampak cacat ini melalui pinjaman kilat.

Setelah munculnya celah di Balancer, para validator di belakang blockchain Berachain segera menghentikan operasi jaringan untuk melaksanakan pembaruan darurat atau hard fork. Yayasan Berachain menuliskan dalam sebuah artikel X yang dirilis pada hari Senin, bahwa hard fork darurat ini bertujuan untuk mengatasi celah Balancer yang terkait dengan aset tertentu di DEX asli Berachain. “Penangguhan perdagangan ini direncanakan dengan cermat, dan setelah semua dana yang terpengaruh dipulihkan, jaringan akan segera kembali beroperasi.” Reaksi berantai ini menunjukkan bahwa celah Balancer tidak hanya mempengaruhi dirinya sendiri, tetapi juga mengancam proyek fork yang menggunakan kodenya.