DeFi dünyası bir kez daha fırtınanın gözüne yakalandı.
3 Kasım'da, Balancer V2 mimarisine dayalı birden fazla proje, titizlikle planlanmış bir saldırıya maruz kaldı ve 120 milyon doları aşan kayıplara yol açtı. Bu olay yalnızca Ethereum ana ağını etkilemekle kalmadı, aynı zamanda Arbitrum, Sonic ve Berachain gibi diğer zincirlere de sıçradı ve Euler Finance ve Curve Finance olaylarının ardından sektör genelinde bir başka güvenlik ihlaline dönüştü.
BlockSec'in ön analizi, bunun "son derece karmaşık bir fiyat manipülasyon saldırısı" olduğunu gösteriyor. Saldırının özü, saldırganın BPT (Balancer Pool Token) fiyat hesaplama mantığını manipüle etmesinde yatıyor. Saldırgan, değişmezlerdeki yuvarlama hatalarından yararlanarak fiyat bozulmaları yaratıyor ve tek bir borsa grubundan tekrar tekrar kâr elde ediyor.
Arbitrum'a yönelik bir saldırı işlemini örnek olarak ele alırsak, saldırı üç aşamadan oluşuyor:
- Saldırganlar öncelikle BPT'yi altta yatan varlıkla değiştirdiler ve cbETH bakiyesini yuvarlama sınırına (yaklaşık 9 oranında) hassas bir şekilde ayarlayarak daha sonraki hassasiyet kaybına yol açacak koşullar yarattılar.
- Daha sonra, belirli bir miktar (=8) başka bir dayanak varlık olan wstETH ve cbETH arasında takas edilir. Ölçeklendirme sırasında aşağı yuvarlama nedeniyle, hesaplanan Δx değeri biraz azalır ve bu da Δy değerinin düşük tahmin edilmesine neden olur. Bu durum, daha küçük bir istikrar havuzu değişmezi D ile sonuçlanır ve bu da BPT'nin teorik fiyatını düşürür.
- Son olarak saldırganlar, altta yatan varlığın BPT'ye geri dönüşümünü tersine çevirerek, arbitraj yoluyla düşen fiyattan kar elde ettiler.
Kısacası bu, matematiğin ve kodun sınırları üzerine inşa edilmiş hassas bir vuruştu.
Balancer, V2 Composable Stable Havuzlarının bir güvenlik açığı nedeniyle tehlikeye girdiğini resmen doğruladı. Ekip, soruşturmada şu anda önde gelen güvenlik araştırmacılarıyla iş birliği yapıyor ve olay sonrası kapsamlı bir analiz raporunu en kısa sürede paylaşma sözü verdi. Duraklatılabilen tüm etkilenen havuzlar derhal donduruldu ve kurtarma moduna alındı. Bu güvenlik açığı yalnızca V2 Composable Stable Havuzlarını etkiler ve Balancer V3 veya diğer havuz türlerini etkilemez.
Balancer V2 güvenlik açığı olayının ardından, Balancer'ı çatallayan projeler önemli bir oynaklık yaşadı. DeFiLlama verilerine göre, 4 Kasım itibarıyla ilgili projelerin toplam kilitli değeri (TVL) yalnızca yaklaşık 49,34 milyon dolardı ve bu tek bir günde %22,88'lik bir düşüşe işaret ediyordu. Bunlar arasında, Berachain'in yerel DEX'i olan BEX'in TVL değeri %26,4 azalarak 40,27 milyon dolara geriledi ve bu da tüm ekosistemin %81,6'sını oluşturmaya devam ediyor. Ancak zincir içi kesintiler ve likidite donmaları nedeniyle sermaye çıkışları devam etti. Bir diğer kurban olan Beets DEX'in durumu daha da kötüleşti ve 24 saatlik TVL değeri %75,85 düştü ve son yedi günde kümülatif olarak yaklaşık %79 düştü.
Yukarıda belirtilen anlaşmalara ek olarak, Balancer mimarisine dayalı diğer DEX'ler de panik satışları yaşadı. PHUX tek bir günde %26,8, Jellyverse %15,5 ve Gaming DEX %89,3 değer kaybederken, likidite neredeyse tamamen yok oldu. KLEX Finance, Value Liquid ve Sobal gibi doğrudan etkilenmeyen daha küçük projeler bile genellikle %5-20 arasında çıkış kaydetti.
Zincirleme reaksiyon başladı ve Berachain acilen hard fork gerçekleştirdi.
Balancer V2'den kaynaklanan bu güvenlik açığı kısa sürede daha büyük bir zincirleme reaksiyonu tetikledi.
Cosmos SDK üzerine kurulu, yeni bir halka açık blok zinciri olan Berachain de, BEX'in Balancer V2 sözleşme mimarisini kullanması nedeniyle saatler içinde hacklendi. Anomaliyi fark eden vakıf, hemen "tüm zincirin kapatılacağını" duyurdu.
BEX'teki USDe Tripool gibi likidite havuzlarının tehlikeye atıldığı ve yaklaşık 12 milyon dolarlık fonun etkilendiği bildirildi. Saldırganlar, Balancer ile aynı mantıksal güvenlik açığından yararlanarak birden fazla akıllı sözleşme etkileşimi aracılığıyla fon çaldılar. Bazı varlıklar yerel olmayan tokenlar olduğundan, ekip kurtarma ve izlemeyi tamamlamak için belirli blokları geri almak üzere sert çatallanma kullanmak zorunda kaldı.
Bu arada, Ethena, Relay ve HONEY dahil olmak üzere Berachain ekosistemindeki birden fazla protokol de savunma önlemleri uyguladı:
- USDe zincirler arası transferler yasaktır;
- Kredi piyasasına ilişkin mevduatların durdurulması;
- BAL basımı ve geri ödemesi durdurulsun;
- Kara listelerindeki şüpheli adresleri merkezi borsalara bildirin.
Berachain Vakfı, Berachain ağının askıya alınmasının planlı olduğunu ve ağın kısa süre içinde normal işleyişine döneceğini belirtti. Balancer güvenlik açığı, nispeten karmaşık akıllı sözleşme işlemlerinden kaynaklanan Ethena, Honey ve Ethena havuzlarını etkiledi. Güvenlik açığı yerel olmayan varlıkları (sadece BERA'yı değil) etkilediğinden, geri alma/ileri alma işlemi basit bir zorunlu çatallanma değildir; bu nedenle, nihai bir çözüm belirlenene kadar kapsamlı bir çözüm oluşturmak için ağ askıya alınacaktır.
Berachain Vakfı, 4 Kasım'da hard fork ikili dosyasının dağıtıldığını ve bazı doğrulayıcı düğümlerinin güncellendiğini duyurdu. Tekrar yayına girip blok üretmeden önce, zincir içi operasyonlar için gerekli temel altyapı ortaklarının (tasfiye oracle'ları gibi) RPC'lerini güncellediklerinden emin olmak istiyor; çünkü bunlar, zincir içi operasyonların yeniden başlatılmasının önündeki en büyük engeller olacak. Temel hizmetler için RPC taleplerini tamamladıktan sonra, ekip hizmetleri yeniden başlatmak için zincirler arası köprüler, CEX ortakları, saklama kuruluşları ve diğerleriyle koordinasyon sağlayacak.
Bu arada, bir Berachain MEV bot operatörü, blockchain askıya alındıktan sonra vakıfla iletişime geçerek, fonları çekmek için "beyaz şapkalı" olduğunu iddia etti ve zincir içi bir mesaj gönderdi. Blockchain yayına girdikten sonra fonların geri transfer edilebilmesi için bir dizi işlemi önceden imzalamaya istekli olduklarını belirttiler.
Önce güvenlik mi, yoksa merkeziyetsizlik mi?
Berachain'in kurucu ortağı Smokey The Bera, topluluğun "merkezileştirme" konusundaki sorularına yanıt olarak, "Bunun tartışmalı olduğunu biliyoruz, ancak yaklaşık 12 milyon dolarlık kullanıcı varlığı risk altında olduğunda, kullanıcıları korumak tek seçenektir" dedi.
Açıklamasında, Berachain'in henüz Ethereum düzeyinde merkeziyetsizliğe ulaşmadığını ve doğrulayıcılar arasındaki koordinasyon mekanizmasının otomatik bir mutabakat ağından ziyade bir "kriz komuta merkezi" gibi olduğunu kabul etti. Zincir içi düğümlerin, güvenlik açığının ortaya çıkmasından sonraki bir saat içinde aynı anda kapanması, merkezi karar alma sürecinin verimliliğini göstermekle birlikte, yönetişim katmanındaki merkezileşme düzeyini de ortaya koyuyor.
Toplumun tepkisi hemen ikiye bölündü.
Destekçiler, bu hamlenin ekibin kullanıcı güvenliğine yönelik sorumluluk duygusunu yansıttığını ve "merkeziyetsizliğe gerçekçi bir yaklaşım" olduğunu savunurken; karşıtlar ise bunu "Kod Kanundur" ilkesini ihlal etmekle ve zincir üstü geri döndürülemezliğe açık bir ihanet olmakla suçluyor.
Blockchain dedektifi ZachXBT ise yorumunda, "Kullanıcıların fonlarının tehlikede olduğu göz önüne alındığında bu zor ama doğru bir karardı." ifadelerini kullandı.
Ancak bazı radikal geliştiriciler açıkça şunu söyledi: "Blockchain her an durdurulabiliyorsa, o zaman geleneksel finans sisteminden ne farkı var?"
DAO olayının gölgesi yeniden ortaya çıkıyor.
Bu olay, sektördeki birçok kişiye 2016 yılındaki Ethereum DAO saldırısını hatırlattı. O dönemde, çalınan 50 milyon doları geri almak için Ethereum, işlemleri sert bir çatallanma yoluyla geri almaya karar verdi ve bu da topluluğun Ethereum (ETH) ve Ethereum Classic (ETC) olarak ikiye bölünmesine neden oldu.
Dokuz yıl sonra yine benzer bir tercih ortaya çıktı.
Bu olay, sektördeki birçok kişiye 2016 yılındaki Ethereum DAO saldırısını hatırlattı. O dönemde, çalınan 50 milyon doları geri almak için Ethereum, işlemleri sert bir çatallanma yoluyla geri almaya karar verdi ve bu da topluluğun Ethereum (ETH) ve Ethereum Classic (ETC) olarak ikiye bölünmesine neden oldu.
Dokuz yıl sonra yine benzer bir tercih ortaya çıktı.
Bu seferki fark, ana karakterin henüz geliştirme sürecinin erken aşamalarında olan halka açık bir blok zinciri olması. Ne yeterli merkeziyetsizliğe sahip, ne de küresel fikir birliğini destekleyecek ölçeğe sahip.
Berachain'in müdahalesi daha fazla kaybın önüne geçse de, blockchain'in gerçekten otonom olup olamayacağı konusunda felsefi soruları bir kez daha gündeme getirdi.
Bir bakıma bu, DeFi ekosisteminin de bir yansımasıdır: güvenlik, verimlilik ve merkeziyetsizlik; bu üçü arasında gerçek anlamda bir denge hiçbir zaman sağlanamamıştır.
Bilgisayar korsanları saniyeler içinde on milyonlarca dolar değerindeki varlıkları yok edebildiğinde, "idealler" çoğu zaman "gerçekliğe" yol açmak zorunda kalıyor.
Balancer, ekibin önde gelen güvenlik araştırmacılarıyla iş birliği yaptığını ve olay sonrası kapsamlı bir analiz raporu yayınlamayı planladığını belirtirken, kullanıcıları güvenlik ekiplerini taklit eden dolandırıcılık mesajlarına karşı dikkatli olmaları konusunda uyardı.
Berachain, hard fork tamamlandıktan sonra blok üretimi ve işlem işlevlerinin kademeli olarak yeniden sağlanmasını bekliyor.
Ancak güveni yeniden tesis etmek, güvenlik açıklarını gidermekten daha zordur. Yeni ortaya çıkan bir kamu blok zinciri için, zinciri duraklatmak kısa vadeli bir çözüm olsa da, toplulukta uzun vadeli hasarlara yol açabilir. Kullanıcılar, merkeziyetsizliğinin güvenilirliğini sorgulayacak ve geliştiriciler, değişmezlik garantisinin hala mevcut olup olmadığı konusunda endişe duyacaktır.
DeFi dünyası merkeziyetsizliği yeniden tanımlıyor olabilir; bu mutlak bir serbest piyasa anlayışı değil, kriz ortamında asgari düzeyde tavizlerle bir fikir birliği bulmakla ilgili.
Tüm Yorumlar