A Balancer, az egyik legismertebb decentralizált pénzügyi (DeFi) protokoll, súlyos biztonsági incidens áldozatává vált, aminek következtében mintegy 110 millió dollárnyi (kb. 36,9 milliárd Ft) kriptó került ismeretlen tárcákba. A CoinDesk által elemzett blokklánc-adatok szerint az érintett eszközök között 6 850 osETH, 6 590 WETH és 4 260 wstETH található. Az elkövető már elkezdte az eszközök konszolidálását, ami felveti a pénzmosási kockázat lehetőségét. A Balancer tokenje (BAL) 5%-ot esett.
A szakértők szerint a Balancer egy hibás hozzáférés-ellenőrzés miatt vált sebezhetővé a „manageUserBalance” funkciójában. A biztonsági rés a _validateUserBalanceOp logikájában gyökerezik, ahol a rendszer összehasonlítja a msg.sendert a felhasználó által megadott op.senderrel.
Ez egy olyan logikai hiba, ami lehetővé tette a támadó(k) számára, hogy a UserBalanceOpKind.WITHDRAW_INTERNAL művelet révén engedély nélkül belső egyenlegfelvételeket hajtsanak végre a Balancer okosszerződéseiből.
A támadás következtében a Balancer BAL tokenje közel 10%-ot esett. Bár hivatalos közlemény még nem érkezett, a millió dolláros veszteségeket okozó 2021-es és 2023-as támadások után ez a projekt történetének harmadik és egyben legnagyobb ismert biztonsági incidense.
BAL tokenárfolyam | CoinMarketCap
A nehezebb visszakövethetőség elkerülése érdekében az elkövető már megkezdte az eszközök átmozgatását, ami aggodalmakat kelt a decentralizált mixereken (kriptó összekeverése a tranzakciók anonimizálásához) vagy cross-chain hidakon (eszköz átvitele egy másik blokkláncra, amivel elrejthető a forrás) keresztüli esetleges pénzmosás miatt.
A DeFi-protokollok használatának izgalmas lehetőségei mellett az eset rávilágít a biztonsági kockázatok állandó jelenlétére, ami elől a nagyobb, ismert protokollok sem teljesen védettek. A felhasználóknak ezért érdemes körültekintően kezelniük digitális eszközeiket és csak megbízható, alaposan ellenőrzött platformokon tárolni nagyobb összegeket.
A vault a Balancer alapvető okosszerződése, ahol minden pool összes tokenje ténylegesen tárolva van. Ahelyett, hogy minden pool a saját eszközeit kezelné, minden egyetlen szerződésen keresztül történik. A Balancer V2-ben bevezetett szerződés szétválasztja a tokenek nyilvántartását a pool logikától (azt, hogy a swapok, likviditás hozzáadások és felvételek hogyan működnek). Mindez egyszerűbbé és biztonságosabbá teszi a poolok építését, valamint ezáltal bárki csatlakoztathat új pool tervezést anélkül, hogy teljesen új DEX-et (decentralizált tőzsde) kellene létrehoznia.
Ugyanakkor ez azt is jelenti, hogy ha a fő szerződés sérülékeny, az az összes erre épülő szolgáltatást is érinti. A Balancer Beets Finance projektelágazása megerősítette, hogy több mint 3 millió dolláros (több mint 1 milliárd Ft) veszteséget szenvedtek el. A DefiLlama adatai szerint a Balancer V2-re épített szolgáltatásokban több mint 60 millió dollár (kb. 21,1 milliárd Ft) van zárolva, így további biztonsági intézkedések hiányában ezek az eszközök is potenciálisan veszélybe kerülhetnek.
Ez az incidens még inkább kihangsúlyozza az okosszerződés-biztonság és a hozzáférés-ellenőrzés kritikus jelentőségét a DeFi-protokolloknál. Bár a Balancer vault rendszere több szempontból is innovatív (központi tárolás, pool logika szétválasztása, kisebb és moduláris poolok, hatékonyabb és olcsóbb tranzakciók), egyetlen hiba is jelentős anyagi károkkal járhat. A felhasználóknak ezért mindenképp tisztában lenniük a kockázatokkal, és mindig csak olyan összeggel dolgozni a DeFi-platformokon, amik elvesztését megengedhetik.
Megjelent a BitcoinBázis oldalon.
