فروپاشی ۱۲۰ میلیون دلاری بالانسر: چگونه چند مبادله کوچک نزدیک بود یکی از بزرگ‌ترین بازارسازهای خودکار را نابود کند

حمله به Balancer v2 در تاریخ ۳ نوامبر منجر به ضرری حدود ۱۲۰ میلیون دلار در پروتکل اصلی و چندین فورک آن شد. بر اساس تحلیل تیم امنیتی SlowMist پس از حادثه، این حمله ناشی از نقص در دقت محاسبات عدد صحیح با نقطه ثابت بود که برای محاسبه ضریب مقیاس در استخرهای Composable Stable Pools استفاده می‌شد. این استخرها برای جفت دارایی‌های نزدیک به برابری مانند USDC/USDT یا WETH/stETH طراحی شده‌اند.

در آخرین به‌روزرسانی، SlowMist تأیید کرد که این نقص باعث ایجاد اختلافات قیمتی کوچک اما مداوم در زمان سواپ‌ها شد، به‌ویژه زمانی که مهاجمان از تابع batch swap برای زنجیره‌کردن چند عملیات در یک تراکنش استفاده کردند. استراتژی مهاجمان در چندین مرحله اجرا شد.

گزارش نهایی SlowMist

مهاجم ابتدا BPT را با توکن‌های نقدینگی تعویض کرد تا ذخایر نقدینگی استخر را کاهش دهد و شرایط را برای سواپ‌های با مبلغ کم فراهم کند. سپس سواپ‌هایی بین توکن‌های نقدینگی (osETH → WETH) انجام داد تا کنترل دقیقی بر خطاهای دقت در سواپ‌های کوچک به دست آورد. در ادامه، سواپ‌های با کنترل بالا بین osETH و WETH انجام شد تا خطاهای دقت به طور عمدی انباشته شود. سپس مهاجم دوباره بین توکن‌های نقدینگی (WETH → osETH) سواپ کرد تا نقدینگی کافی را بازگرداند. این مراحل (۲ تا ۴) به صورت چرخه‌ای تکرار شد تا خطای انباشته شده به طور مداوم افزایش یابد. در نهایت، توکن‌های نقدینگی دوباره به BPT تبدیل شد تا تعادل استخر بازگردد.

مهاجم ابتدا با تعویض BPT به توکن‌های نقدینگی، ذخایر نقدینگی استخر را تخلیه و کاهش داد تا شرایط برای سواپ‌های کوچک فراهم شود. سپس با انجام سواپ بین توکن‌های نقدینگی (osETH → WETH)، کنترل بر خطاهای دقت در سواپ‌های کوچک را به دست آورد. در مرحله بعد، سواپ‌های بسیار کنترل‌شده osETH → WETH برای ایجاد عمدی خطاهای دقت انجام شد.

پس از آن، مهاجم دوباره بین توکن‌های نقدینگی (WETH → osETH) سواپ کرد تا نقدینگی کافی را بازگرداند. با تکرار مراحل ۲ تا ۴ در حلقه‌های متوالی، خطای انباشته شده به طور پیوسته افزایش یافت و در نهایت توکن‌های نقدینگی به BPT تبدیل شد تا تعادل استخر بازگردد. با استفاده مکرر از این نقص دقت در سواپ‌های کوچک، مهاجم سیستم را وادار کرد تا مقدار نهایی «amountOut» را بیشتر از «amountIn» واقعی تسویه کند و سود کلانی به دست آورد.

تیم SlowMist موفق شد عملیات مهاجم را در آدرس‌ها و زنجیره‌های مختلف ردیابی کند. مشخص شد که سرمایه اولیه از طریق Tornado Cash و سپس از طریق نودهای واسطه و استفاده از gas.zip بین زنجیره‌ای منتقل شده و در نهایت در آدرس‌های مبتنی بر اتریوم با هزاران ETH و WETH جمع‌آوری شده است.

اقدامات اصلاحی

در راستای اقدامات اصلاحی، استخرهای CSPv6 در شبکه‌های آسیب‌دیده متوقف شدند، کارخانه CSPv6 غیرفعال شد، شاخص‌های مربوط به استخرهای آسیب‌دیده حذف شد و تأمین‌کنندگان نقدینگی اصلی به‌طور ایمن وجوه خود را برداشتند.

تیم Balancer با همکاری وایت‌هت‌ها، شرکای امنیت سایبری و شبکه‌های مختلف برای بازیابی یا مسدودسازی بخشی از وجوه سرقت‌شده اقدام کرد. این اقدامات شامل بازیابی ۵,۰۴۱ StakeWise osETH به ارزش حدود ۱۹ میلیون دلار و ۱۳,۴۹۵ osGNO به ارزش تقریبی ۲ میلیون دلار بود.

تیم SlowMist به پروژه‌ها و حسابرسانی که با شرایط مشابه مواجه هستند توصیه کرد که تمرکز خود را بر افزایش پوشش تست برای حالت‌های افراطی و شرایط مرزی قرار دهند. همچنین این شرکت تأکید کرد که پروژه‌ها باید به استراتژی‌های مدیریت دقت در شرایط نقدینگی پایین توجه ویژه‌ای داشته باشند.