پروتکل Balancer که سالها یکی از بازیگران کلیدی و قابلاتکای اکوسیستم مالی غیرمتمرکز DeFi محسوب میشد، روز دوشنبه با یکی از سنگینترین ضربههای امنیتی تاریخ خود مواجه شد. در این رخداد، هکرها موفق شدند بیش از ۱۲۸ میلیون دلار از داراییهای دیجیتال موجود در پلتفرم را به سرقت ببرند؛ اتفاقی که تنها در چند ساعت، ارزش کل دارایی قفلشده (TVL) این اکوسیستم را حدود ۵۰ درصد پایین کشید و نگرانی گستردهای در جامعه کریپتو ایجاد کرد.
طبق گزارشهای منتشرشده از سوی شرکتهای امنیتی بلاکچین از جمله PeckShield و Cyvers، این حمله تأیید شده و Balancer نیز در پستی رسمی در پلتفرم X اعلام کرده که تیمهای امنیتی و مهندسی به صورت فوری و با اولویت حداکثری در حال بررسی این حادثه و تلاش برای مهار پیامدهای آن هستند.
هدف حمله چه بود؟
طبق انتشار بلومبرگ، استخرهای پایدار نسخه V2 مشخصاً هدف این حمله بودهاند؛ استخرهایی که به دلیل ساختار الگوریتمی و طراحی پیچیده، همیشه حساستر و مهمتر از سایر انواع شناخته میشدند. نکته قابلتوجه این است که استخرهای دیگر، از جمله Balancer V3، در این حمله آسیبی ندیدهاند و همچنان در حالت پایدار فعالیت میکنند.
این اتفاق یک هشدار بسیار تلخ اما حیاتی برای کل ساختار DeFi است. در سراسر سالهای اخیر، جامعه کریپتو مدام از مفاهیمی مثل غیرمتمرکز بودن، خوداصالتی (self-custody)، حذف نهاد واسط و آزادی مالی سخن میگفت، اما حقیقت این است که بدون امنیت پایدار و تستهای معماری مداوم، هیچکدام از این آزادیها معنا و ارزش واقعی ندارند. شکستهایی اینچنینی در پروتکلهایی در مقیاس Balancer، به افکار عمومی این پیام را میرساند که اعتماد در دنیای کریپتو، نه روی شعار، بلکه روی امنیت آزمونشده و معماری بینقص ساخته میشود. این حادثه احتمالاً تا مدتها بهعنوان یکی از نقاط هشداردهنده تاریخی DeFi باقی خواهد ماند و توجه به امنیت قرارداد هوشمند را در مرکز تمرکز دوباره قرار خواهد داد.
نفوذ هوشمندانه و خسارت سنگین؛ ضربه عمیق هکر به زیرساخت امنیتی Balancer
یک کارشناس DeFi اعلام کرده که هکر این حمله از یک تکنیک پیچیده برای دستکاری قرارداد هوشمند استفاده کرده است. بهنظر میرسد ضعف در اعطای مجوزها و مدیریت نادرست فراخوانیها در معماری Balancer، باعث شده مهاجم بهسادگی سیستم امنیتی را دور زده و بدون ایجاد هشدار، داراییهای ذخیرهشده را آزاد کند.
طبق گزارشها، مهاجم بلافاصله پس از برداشت داراییها فرآیند مخفیسازی ردپا را آغاز کرده و وجوه را به میکسرهایی مانند Tornado Cash منتقل کرده است. همچنین بیش از نیمی از این داراییهای سرقتشده را در همان ساعات اولیه به اتریوم تبدیل کرده تا مسیر ردیابی و بازگشت سرمایه دشوارتر شود. با وجود این، پلتفرم StakeWise موفق شد حدود ۱۹.۳ میلیون دلار از داراییهای هک شده را بازیابی کند؛ اما این موفقیت جزئی نمیتواند شدت فاجعه اصلی را کمرنگ کند. Balancer که پیش از حمله کنترل بیش از ۷۰۰ میلیون دلار دارایی را در اختیار داشت، اکنون با موج گسترده خروج سرمایه روبهرو شده است.
دادهها نشان میدهد ارزش کل داراییهای قفلشده Balancer تنها ظرف چند ساعت به نصف رسید و از ۴۴۲ میلیون دلار به ۲۱۴.۵۲ میلیون دلار سقوط کرد. در این میان حتی یک نهنگ که سه سال هیچ گونه فعالیتی نداشت، تحت تأثیر این هک، بهطور ناگهانی ۶.۵ میلیون دلار از سرمایه خود را خارج کرد.
این حمله یک یادآوری تلخ برای کل جامعه DeFi است که امنیت قرارداد هوشمند، دیگر یک موضوع فرعی یا قابل چشمپوشی نیست؛ بلکه کل بنای اعتماد بر آن استوار است. بسیاری پروژهها در صنعت کریپتو هنوز هم با تصور «کافی بودن امنیت اولیه» پیش میروند، درحالیکه پیچیدگی حملات روزبهروز بیشتر میشود. این حادثه نشان داد یک نقص کوچک در سطح مدیریت مجوزها، میتواند به شکل آبشاری کل سازه اقتصاد یک پروتکل را در عرض چند ساعت نابود کند. DeFi اگر میخواهد آیندهای پایدار داشته باشد، باید به جای افزایش TVL و مارکتینگ، اول امنیت را استانداردسازی، ممیزی منظم و اجباری و طراحیهای مقاوم در برابر سوءاستفاده را در اولویت مطلق خود قرار دهد.