dengeleyici ~116 milyon dolara boşaltıldı Bu karmaşık değildi. Bu, kasa sözleşmelerindeki temel bir erişim kontrolü hatasıydı İşte nasıl olduğu, neyi ortaya çıkardığı ve neden canlı her DeFi protokolünü korkutması gerektiği: 1/

Bu istismar bugün Ethereum, Arbitrum, Polygon, Base, Optimism ve daha fazlasında Balancer v2'yi vurdu 116 milyon dolardan fazla gitti. 6.590 WETH. 6.851 osETH. 4.260 wstETH hepsi 0xBA1'da çekirdek kasadan çekildi... BF2C8 2/

hata, fonları kimin taşıyabileceğini doğrulaması gereken bir işlev olan "manageUserBalance" içindeydi Bunun yerine, msg.sender'ı kullanıcı tarafından sağlanan bir op.sender alanıyla karıştırdı Saldırganlar, hiç yatırmadıkları tokenleri boşaltmak için WITHDRAW_INTERNAL operasyonlarını kullandı 3/

Bunu daha da kötüleştiren ne? balancer V2 her şey için tek bir kasa kullanır. her havuz, her zincir. kasaya vur, hepsine vur. Birçok çatal da risk altındadır. 4/

Bu, Balancer'ın beş yıl içindeki üçüncü büyük hack'i 2021, 2023 ve şimdi 2025: 116 milyon dolar+ ve artmaya devam ediyor 5/

Hadi uzaklaştıralım. Balancer bir deney değil. 750 milyon dolarlık TVL. Denetlen -miş. Yıllarca yaşıyor.ve yine de: Prod'da temel bir erişim kontrolü kusuru vardı, denetimler bunu gözden kaçırdı, uygun gönderen doğrulaması yok, fonlar tek bir merkezi kasada karıştırıldı. 6/

Bu, Balancer'ın beş yıl içindeki üçüncü büyük hack'i 2021: Milyonlarca kayıp 2023: Uyarıldıktan sonra 238 bin dolar 2025: 116 milyon dolar+ bu sadece bir Dengeleyici sorunu değil. Bu bir defi illüzyon sorunu "denetlenmiş" =/= güvenli. "savaşta test edildi" =/= güvenli 7/

Paket: Temel erişim kontrolü hataları hâlâ mavi çip protokollerini yok ediyor Bina yapıyorsanız: Her izin kontrolünü iki kez gözden geçirin. Eğer bir kullanıcıysanız: "denetlendi", birisinin bir kez baktığı anlamına gelir, kurşun geçirmez olduğu anlamına gelmez bu gelişmiş değildi. sadece dikkatsiziz 8/

DeFi daha iyisini yapabilir. Ama önce şunu itiraf etmeliyiz: Temel bilgiler hâlâ abartılı reklamlardan daha önemli. Zincir içi iz geliştikçe daha fazlasını yayınlayacağım 9/

Saldırganın yalnızca izinleri istismar etmediğine dair birkaç rapor var. StableSwap matematiğinde kesinlik kaybı yoluyla BPT fiyatlandırmasını manipüle ettiler. - bir jetonu yuvarlatılmış bir kenara boşaltın - BPT fiyatını düşürmek için yuvarlama hatalarından yararlanın - BPT'yi ucuza geri al, kâr et /10

Fiyat manipülasyonunun nasıl yapıldığı hakkında daha fazla ayrıntıya buradan ulaşabilirsiniz[1] Hala dengeleyicinin resmi yanıtını bekliyorum. olaylar geliştikçe konuyu güncellemeye devam edecek. [1]