Balancer зазнав атаки на 1,16 мільйона доларів! 11 перевірок не змогли запобігти кризі довіри в Децентралізованих фінансах

DEX та AMM Balancer зазнали атаки, внаслідок чого було вкрадено цифрові активи на суму 116 мільйонів доларів, що викликало кризу довіри в DeFi. З 2021 року компанії безпеки OpenZeppelin, Trail of Bits, Certora та ABDK провели 11 аудитів смартконтрактів Balancer, але кошти все ще були вкрадені.

Технічні деталі атаки на вразливість на 116 мільйонів доларів

! Балансир під атакою

（джерело：Lookonchain）

3 листопада раніше повідомлено про цю вразливість, що призвела до крадіжки стейкованого ефіру на суму понад 116 мільйонів доларів. Згідно з журналом Etherscan, токени були переміщені до нового гаманця через три транзакції. Nansen у публікації в X в понеділок повідомив, що ця транзакція включала 6,850 StakeWise стейкованих ETH (OSETH), 6,590 Wrapped Ether (WETH) та 4,260 Lido wstETH (wSTETH).

Згідно з даними блокчейн-платформи Lookonchain, станом на понеділок, 8:52 UTC, масштаб цього тривалого атаки вже призвів до викрадення коштів на суму понад 116,6 мільйона доларів. Дослідник Nansen Ніколай Зондергаард повідомив Cointelegraph, що вразливість Balancer, ймовірно, виникла через проблеми зі смартконтрактами, які мають «помилку перевірки доступу, що дозволяє зловмисникам надсилати команди для виведення коштів». Він також додав: «На мою думку, збитки вже перевищують 100 мільйонів доларів і вплинули на Balancer V2 та його різні форки.»

Вразливості контролю доступу є однією з найпоширеніших, але й найсмертельніших безпекових недоліків у смартконтрактах. Ці вразливості дозволяють несанкціонованим користувачам викликати функції, які повинні бути обмеженими, виконуючи привілейовані операції, такі як витяг коштів, зміна параметрів або знищення токенів. У випадку Balancer, зловмисник, очевидно, скористався помилками перевірки доступу в V2 комбінованому стабільному пулі, обійшовши звичайний механізм перевірки прав, і безпосередньо витягнув активи, що були закладені в пул.

Balancer у понеділок опублікував пост X, в якому оновив користувачів щодо вразливості, зазначивши, що цей інцидент «обмежений комбінаційними стабільними пулами V2 і не вплине на Balancer V3 або інші пули Balancer». Ця заява була зроблена для заспокоєння користувачів та запобігання паніці, що може поширитися на всю угоду. Однак, оскільки комбінаційні стабільні пули V2 є одним з основних продуктів Balancer, наслідки їхнього нападу все ще є вкрай серйозними.

Чому 11 аудитів не змогли запобігти атаці

Платформа також заявила, що вона «пройшла широкі аудити від провідних компаній і вже давно має програму винагороди за вразливості, щоб заохочувати незалежних аудиторів», що ставить під сумнів, як ця вразливість була використана. «Balancer пройшов більше десяти аудитів», – сказав Суhail Kakar, керівник відносин з розробниками TAC Blockchain, – «скарбницю перевіряли три різні компанії, але вона все ще була зламаною, втративши до 110 мільйонів доларів. Ця сфера повинна зрозуміти, що „після X аудитів“ майже нічого не означає. Код складний, DeFi ще складніше.

Згідно з наданим на GitHub списком аудиту Balancer V2, чотири різні безпекові компанії — OpenZeppelin, Trail of Bits, Certora та ABDK — провели 11 аудитів смартконтрактів цієї платформи, останній з яких був проведений Trail of Bits у вересні 2022 року для її стійкого пулу. Така частота аудитів є досить високою для протоколів Децентралізованих фінансів, але все ще не може запобігти виникненню атак.

Цей випадок виявляє фундаментальні обмеження аудиту смартконтрактів. По-перше, аудит зазвичай є точковим, він може виявити лише проблеми, що існують на момент аудиту, і не може охопити подальші оновлення коду або оновлення протоколу. По-друге, можливості аудитора та витрачений час обмежені, складні смартконтракти можуть містити тисячі рядків коду та складні логічні взаємодії, і аудитору важко виявити всі потенційні вразливості. По-третє, деякі вразливості виявляються лише в певних ринкових умовах або сценаріях взаємодії, тоді як аудит зазвичай може тестувати лише обмежену кількість сценаріїв.

П'ять обмежень аудиту DeFi

Проблема з моментом часу: Оновлення коду після аудиту може впровадити нові вразливості

Виклики складності: тисячі рядків коду та складна логіка важко піддаються повній перевірці

Недостатнє покриття сцен: неможливо протестувати всі можливі комбінації взаємодії

Економічні стимули не відповідають реаліям: Витрати на аудит фіксовані, виявлення вразливостей не винагороджується додатково

Неясність відповідальності: Аудиторські звіти зазвичай містять відмову від відповідальності, після виникнення проблем аудиторські компанії рідко беруть на себе відповідальність.

Cointelegraph зв'язався з OpenZeppelin для отримання коментарів, але на момент публікації ще не отримав відповіді. Представник Trail of Bits відмовився коментувати цю вразливість, «доки не буде встановлено основну причину і не буде забезпечено безпеку всіх форків Balancer». Ця обережна позиція зрозуміла, оскільки передчасні коментарі можуть призвести до юридичних зобов'язань.

20% Біла шапка винагорода за повернення стратегії та загроза правозастосування

（джерело：Etherscan）

Щоб повернути кошти, команда, що стоїть за Balancer, пропонує винагороду до 20% від вкрадених коштів, за умови, що вся сума, що залишилася після утримання винагороди, буде негайно повернена. Ця стратегія винагороди для білих капелюхів вже мала кілька успішних випадків у сфері Децентралізованих фінансів, наприклад, Poly Network після крадіжки 610 мільйонів доларів у 2021 році успішно повернула всі кошти через переговори. Однак, чи достатній відсоток винагороди в 20% для залучення зловмисників до повернення коштів, залежить від особи та мотивації зловмисника.

Команда Balancer у понеділок опублікувала повідомлення про торгові операції в блокчейні, в якому заявила зловмисникам, що якщо вони повернуть усі вкрадені кошти протягом 48 годин після публікації повідомлення, то вони нададуть нагороду у вигляді білих капелюхів до 20% від вкрадених коштів. 48-годинний часовий проміжок має на меті створити відчуття терміновості, щоб спонукати зловмисників швидко приймати рішення. Однак це обмеження часу також може створити тиск на зловмисників, змушуючи їх прискорити процес передачі коштів, що, в свою чергу, ускладнить повернення коштів.

Balancer заявив: «Якщо ви оберете не співпрацювати, ми вже найняли незалежних експертів з блокчейн-слідства і активно співпрацюємо з кількома правоохоронними органами та регуляторними партнерами». Balancer в понеділок у заяві про блокчейн-транзакції зазначив: «Наші партнери високо впевнені, що за допомогою метаданих журналів доступу, зібраних через нашу інфраструктуру, можна ідентифікувати вашу особу; ці метадані будуть показувати з'єднання з набором визначених IP-адрес/ASN та часові мітки входу, пов'язані з активністю транзакцій в блокчейні.»

Ця стратегія загрози є ефективною у деяких випадках, але також може мати зворотний ефект. Якщо атакуючі є професійною хакерською групою, вони зазвичай вже вжили достатніх анонімних заходів, включаючи використання VPN, мережі Tor та міксування монет. Хоча блокчейн-судово-медична експертиза може відстежувати рух коштів, визначити справжню особистість зловмисників залишається вкрай складним. На момент публікації проект ще не оприлюднив жодних оновлень щодо винагород або деталей експлуатації вразливостей.

Історичні атаки на Balancer виявляють системні проблеми безпеки

Це не перший випадок, коли Balancer зазнає атаки. Два роки тому фронтальний сайт Balancer зазнав атаки на систему доменних імен (DNS), про що тоді було повідомлено. Хакери перенаправили користувачів сайту на фішинговий сайт, пов'язаний з шкідливими смартконтрактами, що мали на меті викрадення коштів користувачів. За словами блокчейн-детектива ZachXBT, під час цієї фішингової атаки було вкрадено цифрових активів на суму близько 238 тисяч доларів.

У серпні 2023 року Balancer також зазнав атаки на вразливість на суму майже 1 мільйон доларів, а всього за тиждень до цього протокол лише повідомив про “серйозну уразливість”, пов'язану з деякими його ліквідними пулами. Ця іронічна модель “вразливість, яка щойно була розкрита, відразу ж піддається атаці” вказує на те, що процес розкриття вразливостей може бути самим проблемним. Після публічного розкриття вразливостей протоколу необхідно надати користувачам час для перенесення коштів або оновлення контрактів, але це вікно часу також дає можливість зловмисникам скористатися вразливістю.

У червні 2020 року Balancer зазнав хакерської атаки, внаслідок якої було вкрадено ефір і інші токени на суму 500 тисяч доларів. Це була атака на основі дефляційного токена Statera (STA) з використанням флеш-кредитів, при цьому 1% від кожної транзакції автоматично знищувався. Атака використовувала логічний недолік Balancer при обробці дефляційних токенів, а зловмисник посилив вплив цього недоліку за допомогою флеш-кредиту.

Після появи вразливості в Balancer, валідатори блокчейну Berachain терміново зупинили роботу мережі, щоб виконати термінове оновлення або жорсткий форк. У статті X, опублікованій у понеділок, Фонд Berachain написав, що цей терміновий жорсткий форк має на меті вирішити проблему з вразливістю Balancer, пов'язаною з певними активами на рідному DEX Berachain. «Ця зупинка торгівлі була ретельно спланована, і як тільки всі постраждалі кошти будуть повернені, мережа швидко відновить свою роботу». Ця ланцюгова реакція показує, що вразливість Balancer впливає не лише на нього самого, а й загрожує проектам-форкам, які використовують його код.