أصدرت Balancer تقريرًا أوليًا عن ثغرة بقيمة 128 مليون دولار، ووجدت خطأ تقريب في معاملات التبادل المجمعة

التمويل اللامركزي (DeFi) بروتوكول وصانع السوق الآلي موازن أعلنت شركة مايكروسوفت أنها أصدرت تقريرًا أوليًا بشأن حادثة أمنية وقعت مؤخرًا تتعلق ببنيتها التحتية. 

وفقًا للبيان، في الساعة 07:46 بتوقيت UTC يوم الاثنين، اكتشف نظام مراقبة Hypernative نشاطًا غير عادي يشير إلى استغلال تستهدف مجموعات Balancer V2 Composable Stable. أكدت التحقيقات الإضافية أن المشكلة أثرت على مجموعات عملات عبر عدة شبكات، بما في ذلك Ethereum وBase وAvalanche وGnosis وBerachain وPolygon وSonic وArbitrum وOptimism. 

كانت الثغرة مقتصرة على الموازن V2 مجموعات مستقرة قابلة للتكوين ومشتقاتها على سلاسل ذات صلة مثل BEX وBeets، بينما الموازن V3 وظلت أنواع حمامات السباحة الأخرى دون تأثير.

ردًا على ذلك، عمل فريق Balancer مع المساهمين وشركاء الأمن والمستجيبين ذوي المبادئ الأخلاقية لاحتواء الحادث واستعادة جزء من الأصول المتضررة وتجميد الأموال المخترقة. 

أُديرت جهود استجابة منسقة من خلال غرفة عمليات مخصصة للإشراف على عمليات الاحتواء والتواصل واستعادة الأصول عبر شبكات متعددة. وُضعت مجموعات CSPv6 في وضع الاسترداد، ونُفذت خطوات التخفيف بالتعاون مع شركاء خارجيين ضمن إطار عمل SEAL Safe Harbor.

على الرغم من أن حجم الخسائر النهائي لا يزال قيد التقييم، إلا أن الاستغلال وُصف بأنه جسيم. وسيصدر تقرير مفصل بعد انتهاء التقييمات الفنية والقانونية الجارية.

تم تحديد خلل فني في تصميم تبادل الدفعات V2 باعتباره السبب الجذري، وتم استرداد غالبية الأصول المسروقة

حدد التحليل الفني الأولي أن الثغرة نشأت من تصميم Balancer V2 Vault، الذي يدعم عمليات المبادلة البسيطة والدفعية. تتيح وظيفة المبادلة الدفعية إجراء عمليات متعددة ضمن معاملة واحدة، مما يُحسّن كفاءة الغاز من خلال التسوية المؤجلة، وهي آلية تسمح بالاستخدام المؤقت للرموز طالما استُعيدت الأرصدة بنهاية العملية. ضمن مجموعات العملات المستقرة القابلة للتكوين، عوملت رموز مزود السيولة كرموز قياسية، مما أدى إلى تجاوز الحد الأدنى للعرض بشكل فعال، مما سمح بانخفاض مستويات السيولة إلى قيم منخفضة بشكل غير معتاد.

استغلت هذه الثغرة مشكلة في سلوك تقريب دالة الترقية لمبادلات EXACT_OUT في مجموعات مستقرة قابلة للتكوين. وتحديدًا، قامت الدالة بتقريب القيمة إلى أقل قيمة عندما كانت عوامل التقريب غير صحيحة، مما أدى إلى تباينات يمكن استغلالها من خلال ميزة batchSwap للتلاعب بالأرصدة واستخراج القيمة. بقيت بعض الأصول المتأثرة مؤقتًا ضمن أرصدة Vault الداخلية قبل سحبها في المعاملات اللاحقة.

أثرت الثغرة بشكل رئيسي على مجموعات Composable Stable v5 ذات فترات الإيقاف المؤقت المنتهية، بينما تم إيقاف مجموعات Composable Stable v6 تلقائيًا من خلال أدوات التحكم الطارئة في Hypernative وحمايتها من أي تأثير إضافي. لم تتأثر مجموعات Balancer V3 وأنواع مجموعات V2 الأخرى.

ركزت جهود التخفيف على الاحتواء والاسترداد والتحقق عبر السلاسل. وشملت تدابير الاستجابة للطوارئ تجميد تجمعات العملات المشفرة المعرضة للخطر، وتعطيل إنشاء تجمعات جديدة، ووقف الانبعاثات، وبدء عمليات الاسترداد بالتعاون مع الشركاء وفرق الأمن السيبراني (White Hat) في إطار برنامج SEAL Safe Harbor. ساهمت عدة جهات في تمويل الاسترداد، بما في ذلك StakeWise، التي استعادت أكثر من 70% من عملات osETH المسروقة، وBitFinding، التي اعترضت ما يقارب 600,000 دولار أمريكي من الأصول المستغلة. كما جاءت تدخلات إضافية من شركاء مثل Sonic Labs، وBerachain validators، وMonerium، الذين نفذوا عمليات إيقاف أو تجميد للشبكة لمنع المزيد من الخسائر.

وأشارت Balancer إلى أنها تواصل التنسيق مع المدققين الخارجيين والبورصات وفرق الاسترداد للتحقق من تحركات الأموال ومطابقة العناوين المتأثرة. 

جهود التعافي جارية لمجموعات V2 المتضررة

لا تزال عمليات تشغيل مجموعات Balancer غير المتأثرة تعمل بأمان، حيث اقتصرت عملية الاستغلال على أنواع معينة من مجموعات Composable Stable ضمن Balancer V2. ولا تزال Balancer V3 وجميع فئات مجموعات V2 الأخرى غير متأثرة وتعمل كالمعتاد. بالنسبة للمستخدمين في مجموعات Composable Stable v6 المتوقفة مؤقتًا، تم تفعيل وضع الاسترداد، مما يسمح بالسحب النسبي للأصول الأساسية. تأثرت مجموعات Composable Stable v5 ولا تزال قيد المراجعة النشطة، وننصح المستخدمين بالامتناع عن التفاعل مع هذه العقود حتى صدور تأكيد رسمي.

سيتم إصدار جميع المراسلات والتعليمات المُتحقق منها حصريًا عبر القنوات الرسمية لشركة Balancer. سيتم نشر التحديثات المتعلقة باسترداد الأموال، وأرقام التأثير المُطابقة، ونتائج ما بعد الوفاة بمجرد اكتمال عمليات التحقق بين سلاسل التوريد والشركاء. تستمر جهود الاسترداد والتتبع بالتعاون مع شركات الأمن، والمدققين، وفرق Whitehat، ضمن إطار تنسيق SEAL وzeroShadow، لضمان الشفافية والامتثال طوال عملية استرداد الأموال.