Merkezi olmayan finans protokolü Balancer , 120 milyon doları aşan kayıplarla büyük bir istismara maruz kaldı ve DeFi sektöründe uzun süredir devam eden zayıflıklara ilişkin endişeleri yeniledi. Saldırının tüm ayrıntıları hâlâ ortaya çıkarken, ilk analizler V2 Şekillendirilebilir Kararlı Havuzlarındaki değişmez işlevlerin Balancer manipülasyonuna işaret ediyor. Havuz tasarımı belirli fiyat bozulmalarını kaldıramadığı için saldırgan, fondaki varlıkları boşaltan bir toplu takas gerçekleştirebildi.
Balancer etkilenen bileşenin V2 kararlı havuz sistemi olduğunu doğruladı ve istismar başladıktan sonra havuzları duraklatma veya devre dışı bırakma yeteneğinden yoksun olduğunu kaydetti. Ekip, protokolün kapsamlı denetimlerden geçtiğini ve aktif hata ödül programlarını sürdürdüğünü söyledi ancak denetimlerin tek başına olayı engellemediğini kabul etti.
Sektör figürleri, olayı, piyasa katılımcılarının artık güvenlik güvenceleri için yalnızca denetim sertifikalarına veya “merkezi olmayan finans” etiketine güvenemeyeceklerinin bir işareti olarak nitelendirdi.
Güvenlik araştırmacıları, istismarın iki temel sorunu ortaya çıkardığı konusunda uyardı. Birincisi, güvenilir protokoller bile karmaşık havuz yapılarındaki değişmezleri yanlış fiyatlandırabilir veya yanlış yönetebilir. İkincisi, protokol ekipleri hala operasyonel kontrolü elinde tuttuğunda veya gerçek zamanlı kill switch’lerden yoksun olduğunda, ademi merkeziyetçilik iddiaları yanıltıcı olabilir.
Saldırı, DeFi’de ademi merkeziyetçiliğin doğası hakkındaki tartışmayı yeniden alevlendirdi. Bazı durumlarda protokoller, yalnızca token sahipleri, topluluk komiteleri veya akıllı sözleşmeler tarafından yönetilen sistemlerin reklamını yapar. Bununla birlikte, bu istismara verilen yanıt, kontrol ve kurtarma mekanizmalarının hala geliştiricilerde veya ayrıcalıklı aktörlerde bulunduğunu gösteriyor ve bu da eleştirmenlerin mimarinin merkezileşme tehlikelerini koruduğunu iddia etmesine yol açıyor.
Sonrasında bazı platformlar hızlı savunma önlemleri aldı. Örneğin, Ethereum uyumlu Berachain ağındaki merkezi olmayan borsa BEX, saldırı yoluna benzer Balancer bir güvenlik açığını gidermek için faaliyetlerini duraklattı ve bir hard fork gerçekleştirdi. Başka bir proje olan Sonic, soruşturma için belirli cüzdanları dondurdu. Polygon doğrulayıcı ağları, istismarla bağlantılı işlemleri sansürlemek için harekete geçti. Bu yanıtlar, birbirine bağlı DeFi ekosistemlerinin, büyük bir protokol tehlikeye girdiğinde nasıl hızlı tepki verdiğini gösteriyor.
Dramatik manşet rakamına rağmen, tam finansal ve sistemik etkinin değerlendirilmesi aylar alabilir. DeFi platformu SakeWise tarafından etkilenen kullanıcılar için yaklaşık 21 milyon doların kurtarılması da dahil olmak üzere bazı fonlar güvenlik firmaları tarafından Balancer donduruldu veya ele geçirildi. Bu miktar, anlamlı olsa da, toplam kaybın yalnızca bir kısmını temsil ediyor.
Yatırımcılar ve token sahipleri için bu olaydan çıkarılacak önemli dersler var. İlk olarak, denetim sertifikaları ve kamu güvenliği onayları, aktif gerçek dünya risk değerlendirmesinin yerini alamaz. Yeni havuz tasarımlarına veya karmaşık token-omiklere sahip projelerin yalnızca periyodik denetime değil, sürekli izlemeye de ihtiyacı vardır. İkinci olarak, protokoller tamamen merkezi olmayan bir yapıya sahip olduğunu iddia ettiğinde, kullanıcılar ekibin müdahale etme, operasyonları duraklatma veya fonları kurtarma yetkisine sahip olup olmadığını değerlendirmelidir. Gerçek dünyadaki saldırılar genellikle reklamı yapılandan ziyade ademi merkeziyetçiliğin nasıl uygulandığını istismar eder. Üçüncüsü, varlık çeşitlendirmesi önemini koruyor: Büyük hacimli değerlerin tek havuzlarda yoğunlaştırılması, DeFi’deki sistemik riski artırıyor.
Geliştirici açısından bakıldığında, bu istismar, dayanıklı akıllı sözleşme tasarımına olan ihtiyacı güçlendiriyor. Güvenlik mühendisleri, fiyat sapmalarını ayarlayan değişmez kontrollerin kullanılmasını, bunların otomatik olarak veya topluluk yönetimi tarafından tetiklenebilen devre kesiciler veya duraklatma işlevleriyle birleştirilmesini önerir. Ayrıca şeffaf izleme mekanizmalarının, bağımsız hata ödül programlarının ve olağandışı takaslar veya varlık akışları için gerçek zamanlı uyarıların değerini vurguluyorlar.
Bu Balancer istismar, daha geniş kripto ekosistemine merkezi olmayan finansın hala gelişmekte olduğunu hatırlatıyor. Aracıların olmadığı eşler arası finansal piyasalar olarak başlayan şey, akıllı sözleşmeleri, likidite teşviklerini, yönetişim tokenlerini ve karmaşık finansal ürünleri birleştiren katmanlı bir altyapıya dönüştü. Sistemler karmaşıklaştıkça, daha gelişmiş saldırıları da çekerler. Profesyoneller, güvenlik açıklarının çoğunun hala fiyat manipülasyonu, protokol tasarımı ve güven varsayımları gibi temel sorunlarla ilgili olduğunu söylüyor.
Saldırgan bir havuzu tek bir toplu takas yoluyla manipüle ettiğinden, olay aynı zamanda dahili fiyatlandırma mantığındaki ince yanlış hesaplamaların ne kadar büyük kayıplara yol açabileceğini de vurguluyor. Bu tür bir güvenlik açığı, fiyat oracle yanlış yapılandırmalarının veya değişmez hataların protokol kayıplarının büyük bir bölümünü oluşturduğunun gösterildiği DeFi sözleşmeleri üzerine yapılan akademik çalışmalarda işaretlenmişti.