Haberler 
Coin Bilgisi 
Hakkımızda 
Balancer, yaklaşık 1.680 milyar Kore wonu (yaklaşık 1.255 milyar TL) değerinde bir saldırıya uğradı ve olayın ayrıntıları netlik kazandı. 3’ünde yaşanan bu saldırı, merkeziyetsiz finans(DeFi) protokolü olan Balancer’ın sistemini hedef alan, detaylı ve planlı bir senaryoyla gerçekleşti. Saldırı, küçük meblağdaki işlemlerin tekrar edilmesiyle protokolün temel mekanizmasının sistematik şekilde çökertilmesini temel aldı.
Blokzincir güvenlik firması SlowMist’in yayımladığı analiz raporuna göre saldırının temel nedeni, Balancer v2’nin ‘sabit noktalı tamsayı hesaplama’ (integer fixed-point arithmetic) sisteminde ortaya çıkan ‘hassasiyet kaybı’ (precision loss) kaynaklı bir güvenlik açığıydı. Bu açık, özellikle USDC/USDT ve WETH/stETH gibi 1:1 orana çok yakın varlık çiftlerini eşleştirmek için kullanılan Composable Stable Pool (CSP) sistemi içinde yer alan fiyat hesaplama sürecindeki ölçekleme katsayısının yanlış hesaplanmasından kaynaklanıyordu.
Saldırganlar bu açıktan faydalanarak, zincir üzerindeki çeşitli ‘küçük tutarlı takas’ işlemlerini defalarca tekrarladı. Öncelikle BPT (Balancer Protocol Token) değişimiyle havuzdaki likidite azaltıldı. Ardından osETH ile WETH arasında hassas şekilde kontrol edilen takas işlemleri tekrarlandı. Bu süreçte, her bir takasta gönderilen miktardan daha fazla varlık geri alınarak bir nevi ‘hesaplama hatası birikimi’ yaratıldı. Bu döngü defalarca tekrarlanarak saldırganın ciddi miktarda kâr elde etmesi sağlandı.
SlowMist, saldırganın bu işlemleri manuel değil otomatik bir sistemle gerçekleştirdiğini ve her döngüde protokolü yeniden manipüle ederek yukarıdaki hatayı daha da büyüttüğünü vurguladı. Sonuç olarak saldırgan, havuzun nihai dengeleme işleminde giriş miktarından fazla çıkış elde edilmesini başardı. Ele geçirilen varlıklar hızla Tornado Cash ve diğer geçiş noktalarını kullanarak Ethereum ağı üzerindeki çok sayıda cüzdana dağıtıldı. Bu işlem sırasında saldırganın, binlerce Ethereum(ETH) ve Wrapped Ethereum(WETH) sahibi olduğu tespit edildi.
Balancer ekibi saldırının hemen ardından CSPv6 havuzunu geçici olarak durdurdu ve havuz oluşturma işlevini devre dışı bıraktı. Ayrıca kilit likidite sağlayıcılarının fonlarını güvenli biçimde çekebilmesi için acil müdahale önlemleri devreye alındı. Şirket ayrıca beyaz şapkalı hacker'lar ve siber güvenlik uzmanları ile iş birliği yaparak bazı çalınan varlıkların izini sürmeye başladı. Bugüne kadar yaklaşık 19 milyon dolar (yaklaşık 255 milyon TL) değerinde StakeWise osETH ve yaklaşık 2 milyon dolar (yaklaşık 27 milyon TL) değerinde osGNO varlığı dondurulmuş durumda.
Balancer, saldırganın gönüllü olarak varlıkları iade etmesi durumunda %20 oranında hata ödülü (bug bounty) teklif etti ancak şu ana kadar olumlu bir yanıt gelmedi.
SlowMist, olayın özellikle DeFi protokollerinde ‘uç durum ve sınır değer testlerinin yetersizliği’ sorununu gözler önüne serdiğini ifade etti. Firma, benzer mimariye sahip projelerin düşük likiditeli ortamlarda sayı hassasiyeti açısından daha dikkatli tasarımlar geliştirmesi gerektiğini vurguladı.
Bu olay yalnızca bir akıllı sözleşme açığının değil, tüm sistem yapısının karmaşık saldırı yöntemleriyle nasıl kolayca istismar edilebileceğinin çarpıcı bir örneği oldu. DeFi güvenliği açısından bu olay, 'küçük bir hesaplama hatasının zincirleme yıkıma dönüşebileceğine' dair ciddi bir uyarı niteliği taşıyor ve karmaşık takas yapılarının yanı sıra sayısal doğruluğunun sürekli gözden geçirilmesi gerektiğini açıkça ortaya koyuyor.
Yorum 0