1.28 milyon dolar çalındı, 27 çatal protokol "kurban" oldu, Balancer olayı DeFi'ye üç büyük ders verdi.

Yazar: Frank, PANews

3 Kasım'da, DeFi dünyasında bir çatlak oluştu. Eski DeFi protokolü Balancer'ın cüzdan adresinde anormal büyük miktarda fon transferi gerçekleşti. Takip eden birkaç saat içinde, tüm sektör bir felaketin gerçek zamanlı olarak sahneye konduğuna tanık oldu, zarar gören fonlar başlangıçta rapor edilen 70 milyon dolardan 116.6 milyon dolara kadar yükseldi ve sonunda 128.64 milyon dolarlık şaşırtıcı bir rakamda sabitlendi.

Büyük zarar miktarının arkasında, Balancer V2 protokolünün toplamda 27 “çatallı protokol” içermesi yatıyor ve bunlar da uzun zamandır var olan bu ölümcül açığın yol açtığı sistemik risklerle karşı karşıya.

Balancer V2, bir hack saldırısına uğradı ve 128 milyon dolar fon çalındı.

3 Kasım'da, zincir üzerindeki güvenlik şirketi Paitun, Balancer V2 cüzdanında anormal bir transfer olduğunu fark etti. Büyük miktarda paketlenmiş Ether (WETH) ve likit stake türevleri (wstETH, osETH) yeni bir cüzdana transfer edildi.

Ardından Balancer ekibi, gerçekten de bir zincir üstü saldırı olayının meydana geldiğini hızla doğruladı. Zincir üstü izleme devam ettikçe, sonunda kaydedilen zarar miktarı 128 milyon dolara ulaştı. Balancer ekibi, saldırının yalnızca V2 Kombinable Stabil Havuzlar (Composable Stable Pools) ile sınırlı olduğunu belirtti. Daha yeni V3 mimarisi ve diğer V2 havuz türleri (örneğin, ağırlık havuzları) etkilenmedi.

4 Kasım itibarıyla, Balancer ekibi hâlâ saldırının kesin nedenini açıklamadı. Ancak Nansen'ın zincir üzerindeki analistlerinin analizine göre, bu saldırının kaynağı “hatalı erişim kontrolü kontrolü”.

Saldırgan, V2 protokolünün manageUserBalance fonksiyonunu çağırarak hazineye kötü niyetli bir talimat gönderdi. Bu talimat, protokolün iç defterini kandırarak “protokolün büyük bir ücret aldığına” ve “bu ücretin mülkiyetinin saldırgana ait olduğuna” inanmasını sağladı. Ardından, saldırgan normal bir çekim talebinde bulunarak büyük miktarda varlığı kendi hesaplarına transfer etti.

Teknik açıdan bakıldığında, bu saldırının gerçekleştirilmesi, teknik yeteneklerin ne kadar güçlü olduğu ile değil, saldırganın protokoldeki mantıksal açıkları ustaca kullanmasıyla ilgilidir. Bazı analistler, hackerın saldırı sürecinde kontrol paneli günlükleri bıraktığını öne sürüyor. İzlerin alışkanlıklarına bakıldığında, bu hackerın muhtemelen AI büyük modellerini kullanarak kod yazıp inceleyerek insan denetçilerin gözden kaçırdığı hataları bulduğunu söyleyebiliriz.

27 çatal protokolü “kurşun yedi”, her zincir acil önlemler aldı.

Hackerların kurnaz saldırı yöntemleriyle kıyaslandığında, sektörü gerçek anlamda hayal kırıklığına uğratan şey, Balancer V2'nin daha önce dört farklı güvenlik şirketi olan OpenZeppelin, Trail of Bits, Certora ve ABDK tarafından toplamda 11 kez denetlenmiş olmasına rağmen, bu açığı hala keşfedememiş olmalarıdır.

En ironik olan, bu sefer kullanılan “kompoze stabil havuz” (Composable Stable Pool) adlı belirli bileşenin, Eylül 2022'de Certora ve Trail of Bits tarafından özel bir denetimden geçirilmiş olmasıdır.

Yıllardır piyasada bulunan ve görünüşte piyasa testlerinden geçmiş bir DeFi protokolü olarak, Balancer V2 protokolü şablon olarak 27'ye kadar “Fork Protokolü” geliştirmiştir. Bu protokoller de Balancer V2'nin bu mantık açığını tamamen miras almıştır. Hackerlar için bu açık, kusurlu koda sahip olan bu “çatal protokollerin” kasalarını her an açabilen evrensel bir anahtar gibi.

Aslında, bu seferki siber saldırı birden fazla zincire yayıldı. Bunlar arasında, Ethereum ana ağı üzerindeki Balancer V2 ( ana protokolü ) en fazla hasarı aldı ve kayıpların 100 milyon dolara ulaşması bekleniyor. İkinci olarak Berachain'in BEX protokolü, kayıpların 12.86 milyon dolara ulaşabileceği belirtiliyor. Ayrıca, Arbitrum, Base, Sonic gibi toplam yedi kamu zinciri protokolü de bu saldırıdan etkilendi.

Bu beklenmedik felaketle karşı karşıya kalan sektör, iki zorlu seçimle karşı karşıya: Kullanıcı fonlarının çalınmasına göz yummak için “kod yasadır” merkeziyetsiz ilkesine sadık mı kalmalı, yoksa kullanıcıları korumak için merkezi müdahale mi almalı?

En fazla etkilenen Berachain, en radikal ve tartışmalı kararı aldı: doğrulayıcı düğümleri koordine ederek, tüm ağın çalışmasını durdurdu. İşlemleri geri alarak, Berachain, BEX borsasında risk altında olan 12 milyon dolardan fazla varlığı kurtardı.

Elbette, bu kaçınılmaz olarak toplulukta tartışmalara yol açtı; bazıları şu soruyu sordu: “Bu, sizin 'zincirinizin' nihai durumu ve güvenliğini tamamen zedeleyecek değil mi? Şu anda bu daha çok özel bir zincir gibi değil, kamu blok zinciri gibi görünüyor?” Bu konuda, Berachain anonim kurucu ortağı Smokey the Bera şöyle cevap verdi: “Bence endişeniz makul, fakat olağanüstü durumlar olağanüstü önlemler gerektirir - geçmişte Sui ve Hyperliquid gibi örneklerde de benzer uygulamaları gördük.”

Çoğu topluluk üyesi bu kararı destekliyor, sonuçta kaybedilen büyük miktardaki fon havuzunun yol açtığı olumsuz etkiler, sözde “merkeziyetsizlik” inancından çok daha büyük olabilir.

Sonic zinciri, ağ durmadan saldırganın cüzdanını ve içindeki 3.4 milyon doları kilitleyen bir “zincir üstü hesap dondurma mekanizması” etkinleştirdi. Polygon'un doğrulama düğümleri, saldırgan adresinden gelen işlemleri aktif olarak “gözden geçirmeye” başladı.

Birçok kez güvenlik açığı olayları yaşandı, TVL yarı yarıya düştü ve güven krizi yarattı.

Balancer'ın gelişim tarihi, aslında karmaşık mantık açıkları ile sürekli bir mücadele tarihidir. Daha önce, Balancer birçok kez siber saldırıya uğradı, 2020'den 2025'e kadar en az beş kez açık olayı yaşandı. Bu saldırı yöntemleri, en erken dönemlerdeki flash kredi saldırılarından daha karmaşık V2 geliştirilmiş havuz açıklarına kadar uzanmaktadır.

Ancak, geçmişteki vakalarda, zarar gören miktar genellikle birkaç yüz bin dolardan 2 milyon dolara kadar değişmektedir. Balancer açısından, bu geçmiş saldırı olayları daha çok birer güvenlik açığını kapatma fırsatı gibi görünmektedir. Ancak bu sefer, kaybedilen miktarın milyonu aşması, piyasanın Balancer'a olan güvenini ve inancını doğrudan sarsmıştır.

Defillama'nın verilerine göre, saldırıdan sonra Balancer'ın TVL'si 776 milyon dolardan 345 milyon dolara düşerek yüzde 50'den fazla bir azalma yaşadı. Özellikle Balancer V2'nin TVL'si 230 milyon dolar azaldı; Balancer V2'nin fork protokolleri de fon havuzlarından çekildi. Bu arada Gaming DEX'in TVL'si bir günde yüzde 87, Beets DEX'in ise yüzde 48 düştü.

Lido ayrıca, Lido protokolünün etkilenmediğini belirtmiş, ancak ihtiyatlı bir yaklaşım olarak etkilenmeyen Balancer pozisyonunu geri çektiğini ifade etmiştir.

Aslında, Gaming DEX gibi fork protokolleri sonradan gerçek bir etkilenme yaşamadıklarını, sadece güvenlik nedenleriyle çoğu fonu çekmek zorunda kaldıklarını ifade ettiler.

DeFi protokolleri için güven, altından daha önemlidir, özellikle de birden fazla saldırıya maruz kalmış bir geçmişte. 4 Kasım itibarıyla, resmi kaynaklara göre, StakeWise DAO çoklu imza protokolü aracılığıyla, hackerlardan 20 milyondan fazla dolar kaybı geri aldı. Bu da kaybedilen miktarı 98 milyon dolara düşürdü. Aynı zamanda, hacker varlıklarının transferi devam etmekte ve bunların yarısından fazlası ETH'ye dönüştürülmüş durumda.

Bu 128 milyon dolarlık saldırı, DeFi büyüme sürecinde pahalı bir zorunlu ders haline geldi ve üç keskin soru gündeme getirdi.

1. "Altın Standart"ın 11 denetiminde iki yıl boyunca gizli kalan ölümcül bir açığın tespit edilememesi durumunda, "denetim"in anlamı nedir?

2. “Kod Enfeksiyonu” norm haline geldiğinde, bir temel protokolün açığı anında 27 türev protokolü yok edebiliyorsa, DeFi'nin bileşenleri yenilik mi yoksa lanet mi?

3. Yeni nesil kamu blok zincirleri “dağıtık merkeziyetsizlik” ile “kullanıcıları kurtarma” arasında bir seçim yapmak zorunda kaldıklarında, “kod hukuk demektir” idealinin "pragmatik merkeziyetsizlik"e yerini bırakıp bırakmadığı?

Gelecekte, DeFi'nin güvenliği artık sadece daha fazla denetime bağlı olmayabilir, aksine daha basit, daha sağlam ve saldırı yüzeyini temelde azaltan protokol tasarımlarına bağlı olacaktır. Bu olayda güven ve sermaye kaybeden kullanıcılar için bu anlayışın bedeli son derece ağırdır.