هک ۱۰۰ میلیون دلاری بالانسر؛ اعتبار حسابرسی‌های دیفای زیر سؤال رفت

صرافی غیرمتمرکز بالانسر (Balancer)، هدف یکی از بزرگ‌ترین هک‌های سال قرار گرفت. در این حمله که به‌تازگی تأیید شده، بیش از ۱۰۰ میلیون دلار از دارایی‌های دیجیتال از استخرهای نقدینگی این پلتفرم به سرقت رفته و این موضوع موجی از نگرانی را میان کاربران و توسعه‌دهندگان برانگیخته است.

به گزارش میهن بلاکچین، تیم بالانسر اعلام کرد که این حادثه تنها محدود به نسخه دوم استخرهای پایدار ترکیبی (Composable Stable Pools – V2) بوده و نسخه جدید بالانسر V3 آسیبی ندیده است؛ اما همچنان پرسش‌های بسیاری درباره امنیت کدها، کیفیت حسابرسی‌ها و آینده اعتماد کاربران به پروژه‌های دیفای مطرح شده است.

استخرهای پایدار V2 بالانسر هک شد

بالانسر در بیانیه‌ای که روز دوشنبه در شبکه اجتماعی X منتشر کرد، گفت این حمله صرفاً به برخی استخرهای نسخه دوم مربوط بوده است و سایر بخش‌های اکوسیستم بدون مشکل به کار خود ادامه می‌دهند. این تیم همچنین تأکید کرد که کدهای پروژه پیش‌تر توسط شرکت‌های امنیتی معتبر مورد بازبینی قرار گرفته و حتی برنامه‌های تشویقی (Bug Bounty) نیز برای شناسایی ضعف‌های احتمالی در جریان بوده است.

این موضوع باعث شده جامعه توسعه‌دهندگان از خود بپرسند چگونه ممکن است پلتفرمی با بیش از ده حسابرسی رسمی، قربانی چنین حمله‌ای شود.

سهیل کاکار (Suhail Kakar)، از مدیران بخش توسعه در بلاکچین TAC، در پستی کنایه‌آمیز نوشت:

بالانسر بیش از ده حسابرسی مختلف داشت، اما باز هم ۱۱۰ میلیون دلار از دست رفت. وقت آن رسیده است که بپذیریم عبارت “حسابرسی‌شده توسط شرکت X” به‌تنهایی هیچ تضمینی نیست. کدنویسی سخت است، دیفای سخت‌تر.

بر اساس داده‌های موجود در گیت‌هاب (GitHub)، چهار شرکت امنیتی شناخته‌شده یعنی اوپن‌زپلین (OpenZeppelin)، تریل آو بیتس (Trail of Bits)، سرتورا (Certora) و ABDK تاکنون ۱۱ حسابرسی مختلف از قراردادهای هوشمند بالانسر انجام داده‌اند. آخرین بررسی‌ها بر استخرهای پایدار نیز سپتامبر ۲۰۲۲ توسط تریل آو بیتس انجام شده بود.

در حالی که برخی کارشناسان همچنان در انتظار اعلام علت دقیق این رخنه امنیتی هستند، یکی از تحلیل‌گران شرکت نانسن (Nansen) احتمال داده است که مشکل از ضعف در مکانیزم کنترل دسترسی قراردادهای هوشمند ناشی شده باشد؛ این موضوع، به مهاجم اجازه داده است تا دستور برداشت مستقیم وجوه را صادر کند.

جزئیات سرقت و واکنش بالانسر؛ تکرار یک واقعیت تلخ در دیفای

بر اساس گزارش‌های آنچین، در جریان این حمله حدود ۱۱۶ میلیون دلار از دارایی‌های اتریومی شامل استیک‌وایز استیکد اتر (OSETH)، رپد اتر (WETH) و لیدو رپد استیکد اتر (Lido wstETH) به کیف پولی که به‌تازگی ساخته‌شده منتقل شده است.

در واکنش به این اتفاق، تیم بالانسر در تراکنشی روی بلاکچین پیامی برای مهاجم ارسال کرد و در آن پیشنهاد پرداخت پاداش کلاه‌سفید تا سقف ۲۰٪ از وجوه سرقتی را در صورت بازگرداندن کامل دارایی‌ها ظرف ۴۸ ساعت مطرح نمود. در غیر این صورت، تیم پروژه اعلام کرد که از شرکت‌های مستقل تحلیل بلاکچین و نهادهای قانونی برای پیگیری پرونده کمک خواهد گرفت.

در زمان نگارش این مطلب، بالانسر هنوز بروزرسانی جدیدی درباره جزئیات هک یا وضعیت جایزه منتشر نکرده است.