Her şeyden önce, @Balancer ekibine ve bu istismardan etkilenen herkese en büyük taziyelerimi sunuyorum. Bırakın bir OG protokolünü, bunun gibi önemli bir DeFi hack'inin olduğu her zaman zor bir gündür. Çalınan fonların dolar maliyetinden daha fazlası, bu gerçekten tüm kripto ve DeFi'nin bir bütün olarak imajına zarar veriyor ve sektörümüzü birkaç ay geriye götürüyor. İşin aslı şu ki Solidity, finansın geleceğine gerçekten ev sahipliği yapamayacak kadar güvensiz bir dil. Solidity, geliştiricilerin erişim kontrollerinden hassas matematiğe kadar her şey için manuel kontrollere güvenmesi nedeniyle, onu saldırılara açık hale getiren çok geniş bir yüzey alanına sahiptir ve Move gibi varlık öncelikli dillerin başlangıçta icat edilmesinin nedeni tam olarak budur. Biraz araştırma yaptıktan sonra Balancer şu şekilde saldırıya uğradı: Saldırganlar, dengeli likiditeyi temsil eden önemli bir matematik sabiti olan havuzun değişmezliğini bozmak için kararlı havuz takaslarındaki yuvarlama hatalarından yararlandı. cbETH gibi bir dayanak varlık için BPT'nin (Dengeleyici Havuz Tokenları) flaş ödünç verilen takaslarıyla başladılar ve bakiyeleri tam yuvarlama sınırlarına (örneğin, 9'a ölçeklendirilmiş) ittiler. Daha sonra, wstETH gibi varlıklar arasında cbETH'ye hazırlanmış miktarlarla (örneğin, sabit nokta ölçeklendirmesi nedeniyle ~8,918 8'e yuvarlandı), rezerv değişikliklerini hafife aldılar ve değişmezi (D) yapay olarak söndürdüler. Bu, BPT fiyatını (D / totalSupply) düşürdü ve saldırganların fazla BPT'yi ucuza basmak için ters takas yapmasına, dayanak varlıkları "normal" oranlarda çekmek için yakmasına ve aradaki farkı cebe indirmesine, esasen likidite sağlayıcılarından çalmasına izin verdi. Vault'un dahili bakiyelerinde biriken karlar, WITHDRAW_INTERNAL ile manageUserBalance aracılığıyla nakde çevrildi, matematik kusuru hırsızlığı sübvanse ettiğinden doğrudan kimlik doğrulama atlamasına gerek kalmadı. Bu, Solidity'nin manuel sabit nokta kitaplıklarında büyük drenajlara dönüşen bir hassasiyet kaybıdır. Move'un bu hack'i tamamen atlamasının yolu, özünde güvenliği sağlamaktı: Varlıklar, sıkı korumayı zorunlu kılan doğrusal türlere sahip kaynaklar olarak ele alınır (istenmeyen kopyalar, düşmeler veya kayıplar yok) ve matematik, yerleşik taşma iptalleri, kayan noktalar ve karmaşık hesaplamalarda istismar edilebilir yuvarlama kaymaları olmayan tam u64/u128 tamsayılarını kullanır. Move tabanlı bir DEX'te, takas işlevleri VM aracılığıyla değişmezleri atomik olarak kontrol eder ve günceller ve aşağıdakiler gibi herhangi bir dengesizliği iptal eder: halka açık giriş eğlenceli takas(pool: &mut LiquidityPool, içinde: Coin, out_amt: u64): Coin { öne sürmek! (coin::value(&in) >= calculate_required_in(havuz, out_amt), E_INSUFFICIENT_INPUT); coin::merge(&mut pool.coin_x_reserve, içinde); let out = coin::extract(&mut pool.coin_y_reserve, out_amt); öne sürmek! (check_invariant(havuz), E_INVARIANT_VIOLATION); dışarıya } Ayrıca, atomik işlemler yeniden giriş risklerini ortadan kaldırır. Bu nedenle Move ekosistemleri EVM'ye kıyasla çok daha az istismara sahiptir. DeFi geliştiricilerinin Move gibi güvenliği sıfırdan önceliklendiren dilleri benimsemelerinin zamanı geldi, böylece nihayet bunun gibi önlenebilir aksaklıklar olmadan dayanıklı bir finansal gelecek inşa edebiliriz.