Merkezi Olmayan Finans platformu Balancer, Hacker saldırısı olay analizi
29 Haziran sabahı, Merkezi Olmayan Finans platformu Balancer'ın iki ERC20 deflasyonist token havuzu bir Hacker saldırısına uğradı ve 500.000 dolardan fazla kayba neden oldu. Güvenlik analistleri soruşturmaya müdahil olduktan sonra, sorunun kaynağının Balancer'daki deflasyonist token ile akıllı sözleşmesi arasında belirli senaryolarda uyumsuzluk olduğu ve bunun da saldırganların fiyat sapması olan token likidite havuzları oluşturmasına ve buradan kar elde etmesine olanak tanıdığı belirlendi.
Hacker saldırıları dört ana aşamaya ayrılır:
Bir borç verme platformundan 104,331 WETH miktarında bir flaş kredi alın.
Balancer'ın elindeki STA token'larının neredeyse tükenene kadar, yalnızca 0.000000000000000001 STA kalana kadar swapexactMountin() çağrısını tekrar tekrar yürütün.
STA tokeninin Balancer akıllı sözleşmesiyle uyumsuzluğundan, yani muhasebe ve bakiye uyumsuzluğundan yararlanarak, likidite havuzundaki diğer varlıkları tüketip nihayetinde 523,616.52 dolar kar elde etti.
Flaş krediyi geri ödeyin ve saldırıdan elde edilen dijital varlıkları transfer edin.
Saldırının kritik aşamasında, Hacker swapExactAmountIn() fonksiyonu aracılığıyla çok az miktarda STA'yı BPool'a gönderdi ve çok yüksek bir değer farkıyla büyük miktarda WETH aldı. STA transfer edilirken %1'lik bir işlem ücreti yakıldığı için, aslında BPool hiçbir STA alamadı ve bu durum gerçek bakiye ile iç muhasebe arasında uyumsuzluğa yol açtı. Saldırgan daha sonra gulp() fonksiyonunu çağırarak _records[STA]'i sürekli olarak sıfırlayarak BPool'da çok az miktarda STA bakiyesi tuttu ve böylece diğer varlıkları yüksek fiyatla değiştirmeye devam etti.
Bu olay, Merkezi Olmayan Finans'ın bileşen uyumluluğundaki riskleri bir kez daha ortaya koydu. Benzer saldırılara karşı korunmak için aşağıdaki optimizasyon önerileri değerlendirilebilir:
Transfer tutarı işlem ücretini ödemek için yeterli olmadığında, STA/STONK transfer() veya transferFrom() işlemlerini doğrudan geri almalı veya False döndürmelidir.
Balancer, her transferFrom() fonksiyonu çağrısından sonra BPool'un gerçek bakiyesini kontrol etmelidir.
Ancak, en iyi çözüm hala önleyici tedbirdir. Merkezi Olmayan Finans proje geliştiricileri, iyi kod standartları benimsemeli, kapsamlı saldırı ve savunma testleri yapmak için üçüncü taraf güvenlik şirketlerinden yardım almalı ve çeşitli token standartları ile Merkezi Olmayan Finans projelerinin kombinasyon davranışlarını dikkatlice incelemelidir.
Bu Balancer saldırısı olayının neden olduğu spesifik kayıplar şunlardır:
601.3 WETH
11,031.4 SNX
22,593.2 LINK
116,107.8 STA
53.4 COMP
Toplam kayıp yaklaşık 523,616.52 dolar değerinde dijital varlık.
Bu olay, şüphesiz Merkezi Olmayan Finans topluluğu üzerinde önemli bir etki yaratacak ve aynı zamanda tüm Merkezi Olmayan Finans proje geliştiricilerine akıllı sözleşmelerin güvenliğine büyük önem vermeleri gerektiğini hatırlatmaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Balancer, 500.000 dolarlık bir Hacker saldırısına uğradı. DeFi sözleşme açığı yeniden alarm zilleri çaldı.
Merkezi Olmayan Finans platformu Balancer, Hacker saldırısı olay analizi
29 Haziran sabahı, Merkezi Olmayan Finans platformu Balancer'ın iki ERC20 deflasyonist token havuzu bir Hacker saldırısına uğradı ve 500.000 dolardan fazla kayba neden oldu. Güvenlik analistleri soruşturmaya müdahil olduktan sonra, sorunun kaynağının Balancer'daki deflasyonist token ile akıllı sözleşmesi arasında belirli senaryolarda uyumsuzluk olduğu ve bunun da saldırganların fiyat sapması olan token likidite havuzları oluşturmasına ve buradan kar elde etmesine olanak tanıdığı belirlendi.
Hacker saldırıları dört ana aşamaya ayrılır:
Bir borç verme platformundan 104,331 WETH miktarında bir flaş kredi alın.
Balancer'ın elindeki STA token'larının neredeyse tükenene kadar, yalnızca 0.000000000000000001 STA kalana kadar swapexactMountin() çağrısını tekrar tekrar yürütün.
STA tokeninin Balancer akıllı sözleşmesiyle uyumsuzluğundan, yani muhasebe ve bakiye uyumsuzluğundan yararlanarak, likidite havuzundaki diğer varlıkları tüketip nihayetinde 523,616.52 dolar kar elde etti.
Flaş krediyi geri ödeyin ve saldırıdan elde edilen dijital varlıkları transfer edin.
Saldırının kritik aşamasında, Hacker swapExactAmountIn() fonksiyonu aracılığıyla çok az miktarda STA'yı BPool'a gönderdi ve çok yüksek bir değer farkıyla büyük miktarda WETH aldı. STA transfer edilirken %1'lik bir işlem ücreti yakıldığı için, aslında BPool hiçbir STA alamadı ve bu durum gerçek bakiye ile iç muhasebe arasında uyumsuzluğa yol açtı. Saldırgan daha sonra gulp() fonksiyonunu çağırarak _records[STA]'i sürekli olarak sıfırlayarak BPool'da çok az miktarda STA bakiyesi tuttu ve böylece diğer varlıkları yüksek fiyatla değiştirmeye devam etti.
Bu olay, Merkezi Olmayan Finans'ın bileşen uyumluluğundaki riskleri bir kez daha ortaya koydu. Benzer saldırılara karşı korunmak için aşağıdaki optimizasyon önerileri değerlendirilebilir:
Transfer tutarı işlem ücretini ödemek için yeterli olmadığında, STA/STONK transfer() veya transferFrom() işlemlerini doğrudan geri almalı veya False döndürmelidir.
Balancer, her transferFrom() fonksiyonu çağrısından sonra BPool'un gerçek bakiyesini kontrol etmelidir.
Ancak, en iyi çözüm hala önleyici tedbirdir. Merkezi Olmayan Finans proje geliştiricileri, iyi kod standartları benimsemeli, kapsamlı saldırı ve savunma testleri yapmak için üçüncü taraf güvenlik şirketlerinden yardım almalı ve çeşitli token standartları ile Merkezi Olmayan Finans projelerinin kombinasyon davranışlarını dikkatlice incelemelidir.
Bu Balancer saldırısı olayının neden olduğu spesifik kayıplar şunlardır:
Toplam kayıp yaklaşık 523,616.52 dolar değerinde dijital varlık.
Bu olay, şüphesiz Merkezi Olmayan Finans topluluğu üzerinde önemli bir etki yaratacak ve aynı zamanda tüm Merkezi Olmayan Finans proje geliştiricilerine akıllı sözleşmelerin güvenliğine büyük önem vermeleri gerektiğini hatırlatmaktadır.