اختراق Balancer V2: درس مكلف في أمن DeFi وتداعياته على البروتوكولات المتفرعة

ملخص المقال

• الاختراق: تفاصيل حول استغلال Balancer V2 الذي أدى إلى خسارة 128 مليون دولار.
• الأسباب: تحليل لـ "فحص التحكم في الوصول المعيب" وكيف استغله المهاجمون.
• التداعيات: تأثير الاختراق على Balancer والبروتوكولات المتفرعة، وإجراءات الطوارئ المتخذة.
• التحديات: أسئلة حول فعالية التدقيق، ومخاطر البروتوكولات المتفرعة، والتوازن بين اللامركزية والتدخلات المركزية.
• المستقبل: الحاجة إلى تصميمات بروتوكول أبسط وأكثر قوة في DeFi.

مقدمة

في مشهد التمويل اللامركزي (DeFi) الديناميكي، حدث تحول مزعزع في 3 نوفمبر عندما تعرض بروتوكول Balancer V2 المحترم للاختراق، مما أدى إلى خسارة مذهلة قدرها 128.64 مليون دولار. لم يكن هذا الحادث مجرد نكسة لـ Balancer، بل كان بمثابة دعوة للاستيقاظ لصناعة DeFi بأكملها، مما سلط الضوء على نقاط الضعف الكامنة في البروتوكولات المعقدة المترابطة.

تفاصيل الاختراق

بدأت الكارثة عندما اكتشفت شركة الأمن على السلسلة PeckShield تحويلات غير عادية من خزائن Balancer V2. تدفق WETH (Wrapped Ether) و wstETH (Wrapped Staked ETH) و osETH (osETH) بكميات كبيرة إلى محفظة جديدة. سرعان ما أكد فريق Balancer الهجوم، وكشفت التحقيقات اللاحقة عن نطاق الخسائر المذهلة.

السبب الجذري: خلل في التحكم بالوصول

وفقًا للتحليلات الأولية من قبل شركات الأمن ومحللي السلسلة، نشأ الاختراق من "فحص التحكم في الوصول المعيب". استغل المهاجمون وظيفة `manageUserBalance` في Balancer V2، وأرسلوا تعليمات برمجية خبيثة خدعت دفاتر الأستاذ الداخلية للبروتوكول للاعتقاد بأنه قد تم تحصيل رسوم كبيرة وأن المهاجمين يمتلكون هذه الرسوم. ثم قاموا بسحب الأصول، واستنزفوا الخزائن بشكل فعال.

تأثير البروتوكولات المتفرعة

إن أحد الجوانب الأكثر إثارة للقلق في هذا الاختراق هو تأثيره على البروتوكولات المتفرعة. كان لدى Balancer V2 ما يقرب من 27 بروتوكولًا متفرعًا ورثت نفس الثغرة الأمنية. جعل هذا المهاجمين قادرين على استغلال العديد من البروتوكولات الأخرى الضعيفة. تأثرت العديد من السلاسل، بما في ذلك Ethereum (الشبكة الرئيسية لـ Balancer V2)، وBerachain (بروتوكول BEX)، و Arbitrum، و Base، و Sonic.

إجراءات الطوارئ والاستجابات

في أعقاب الاختراق، واجهت الصناعة معضلة صعبة: التمسك بمبادئ اللامركزية "الكود هو القانون" أو التدخل لحماية أموال المستخدمين. اتخذت Berachain إجراءات جذرية من خلال تنسيق عقد التحقق لتعليق الشبكة مؤقتًا وعكس المعاملات، وبالتالي إنقاذ أكثر من 12 مليون دولار من الأصول المهددة في BEX. أثارت هذه الخطوة جدلاً، حيث جادل البعض بأنها تقوض نهائية وأمن السلسلة. اتخذت Sonic نهجًا مختلفًا، حيث قامت بتنشيط "آلية تجميد الحساب على السلسلة" لتجميد محفظة المهاجمين وأكثر من 3.4 مليون دولار من الأموال. بدأ مدققو Polygon أيضًا في "مراجعة" المعاملات من عناوين المهاجمين.

تاريخ من الثغرات الأمنية وأزمة الثقة

لم يكن هذا هو أول هجوم من نوعه على Balancer. على مر السنين، عانى البروتوكول من عدة ثغرات أمنية، ولكن هذا الاختراق الأخير كان الأكثر تدميراً. أدى ذلك إلى تآكل كبير في الثقة في Balancer، وانخفض إجمالي القيمة المقفلة (TVL) من 776 مليون دولار إلى 345 مليون دولار. سحبت البروتوكولات المتفرعة أيضًا الأموال من Balancer V2. أعلنت Lido أيضًا، على الرغم من عدم تأثرها، أنها ستسحب بحذر مراكز Balancer الخاصة بها.

الدروس المستفادة والأسئلة الصعبة

أثار اختراق Balancer V2 ثلاثة أسئلة حرجة:

1. ما هي قيمة عمليات التدقيق إذا لم تتمكن 11 عملية تدقيق من قبل شركات أمنية مختلفة من اكتشاف ثغرة أمنية قاتلة؟
2. هل قابلية التركيب في DeFi نعمة أم نقمة عندما يمكن لثغرة أمنية واحدة أن تدمر العديد من البروتوكولات المتفرعة؟
3. هل يجب أن يكون "الكود هو القانون" القاعدة المطلقة عندما تضطر السلاسل الناشئة إلى الاختيار بين اللامركزية وإنقاذ أموال المستخدمين؟

مستقبل أمن DeFi

يشير هذا الحادث إلى أن أمن DeFi قد يحتاج إلى الابتعاد عن عمليات التدقيق العديدة والتحول نحو تصميمات بروتوكولات أبسط وأكثر قوة تقلل بشكل أساسي من مساحة الهجوم. بالنسبة للمستخدمين الذين فقدوا الثقة ورأس المال، فإن هذه الدروس المستفادة تأتي بتكلفة باهظة.