Протокол Balancer децентрализованных финансов пострадал от серьезного эксплойта, убытки которого превысили 120 миллионов долларов, что возобновило опасения по поводу давних слабостей в секторе DeFi. Хотя полные детали атаки все еще выясняются, ранний анализ указывает на манипуляции с инвариантными функциями в Balancer компонуемых стабильных пулах V2. Поскольку конструкция пула не смогла справиться с определенными ценовыми искажениями, злоумышленник смог выполнить пакетный своп, который привел к истощению активов из фонда.
Balancer подтвердил, что затронутым компонентом была система стабильного пула V2, и отметил, что у него отсутствовала возможность приостановить или отключить пулы после запуска эксплойта. Команда заявила, что протокол прошел обширный аудит и поддерживал активные программы вознаграждения за ошибки, но признала, что одни только проверки не предотвратили инцидент.
Представители отрасли описали это событие как знак того, что участники рынка больше не могут полагаться исключительно на сертификаты аудита или ярлык «децентрализованных финансов» для обеспечения безопасности.
Исследователи безопасности предупредили, что эксплойт демонстрирует две ключевые проблемы. Во-первых, даже доверенные протоколы могут неправильно оценивать или управлять инвариантами в сложных структурах пулов. Во-вторых, заявления о децентрализации могут вводить в заблуждение, когда протокольные команды по-прежнему контролируют работу или не имеют функции экстренного отключения от Интернета в режиме реального времени.
Атака вновь вызвала дебаты о природе децентрализации в DeFi. В некоторых случаях протоколы рекламируют системы, управляемые только держателями токенов, комитетами сообщества или смарт-контрактами. Тем не менее, реакция на этот эксплойт предполагает, что механизмы контроля и спасения по-прежнему находятся в руках разработчиков или привилегированных игроков, что побуждает критиков утверждать, что архитектура сохраняет опасности централизации.
После этого некоторые платформы предприняли быстрые оборонительные действия. Например, децентрализованная биржа BEX в сети Berachain, совместимой с Ethereum, приостановила свою работу и выполнила хардфорк для устранения уязвимости, похожей на путь атаки Balancer . Другой проект, Sonic, заморозил некоторые кошельки для расследования. Сети валидаторов Polygon перешли на цензуру транзакций, связанных с эксплойтом. Эти ответы иллюстрируют, как взаимосвязанные экосистемы DeFi быстро реагируют на компрометацию одного из основных протоколов.
Несмотря на впечатляющую общую цифру, для оценки полного финансового и системного воздействия могут потребоваться месяцы. Некоторые средства были заморожены или перехвачены охранными фирмами, в том числе возврат почти 21 миллиона долларов DeFi-платформой SakeWise для Balancer пострадавших пользователей. Эта сумма, хотя и значительная, представляет собой лишь часть общего ущерба.
Для инвесторов и держателей токенов из этого инцидента есть ключевые уроки. Во-первых, сертификация аудита и одобрение общественной безопасности не могут заменить активную оценку рисков в реальном мире. Проекты с новым дизайном пулов или сложной токеномикой нуждаются в постоянном мониторинге, а не только в периодическом аудите. Во-вторых, когда протоколы претендуют на полную децентрализацию, пользователи должны оценить, сохраняет ли команда право вмешиваться, приостанавливать операции или возвращать средства. Реальные хакеры часто используют то, как реализуется децентрализация, а не то, что рекламируется. В-третьих, диверсификация активов остается важной: концентрация больших объемов стоимости в отдельных пулах усиливает системный риск в DeFi.
С точки зрения разработчика, эксплойт усиливает потребность в устойчивом дизайне смарт-контрактов. Инженеры по безопасности рекомендуют использовать инвариантные проверки, которые корректируют ценовые аберрации, сочетая их с автоматическими выключателями или функциями паузы, которые могут срабатывать автоматически или с помощью управления сообществом. Они также подчеркивают ценность прозрачных механизмов мониторинга, независимых программ вознаграждения за обнаружение ошибок и оповещения в режиме реального времени о необычных свопах или потоках активов.
Эксплойт Balancer напоминает более широкой криптоэкосистеме о том, что децентрализованные финансы все еще развиваются. То, что начиналось как одноранговые финансовые рынки без посредников, превратилось в многоуровневую инфраструктуру, сочетающую смарт-контракты, стимулы ликвидности, токены управления и сложные финансовые продукты. По мере того, как системы становятся все более сложными, они также привлекают более сложные атаки. Специалисты говорят, что многие уязвимости по-прежнему связаны с фундаментальными проблемами, такими как манипулирование ценами, разработка протокола и предположения о доверии.
Поскольку злоумышленник манипулировал пулом с помощью одного пакетного обмена, это событие также подчеркивает, как тонкие просчеты во внутренней логике ценообразования могут привести к огромным потерям. Этот вид уязвимости был отмечен в академических исследованиях контрактов DeFi, где показано, что неправильные конфигурации ценового оракула или инвариантные сбои объясняют большую долю потерь протокола.