Balancer ön raporu açıklandı! Sıçrama fonksiyonu açığı 116 milyon dolar felaketine yol açtı

DeFi protokolü Balancer ekibi, saldırı sonrası ilk analiz raporunu yayımlayarak DeFi piyasasında 1,16 milyar dolar değerinde fonun çalınmasına neden olan açıkları açıkladı. Bu hafta Balancer, karmaşık kod saldırısına maruz kalmış ve v2 stabil havuzları ile Composable stabil v5 havuzlarını etkilemiştir; saldırganlar BatchSwaps ve büyütülmüş yuvarlama fonksiyonlarının kullanımıyla stabil coin havuzlarından fon çalmıştır.

Yuvarlama fonksiyonu açığı ve BatchSwaps’un ölümcül kombinasyonu

(Kaynak: X)

Balancer, hafta başında karmaşık bir kod saldırısına uğradı ve sadece Balancer v2 stabil havuzları ile Composable stabil v5 havuzlarını etkiledi; diğer havuz türleri etkilenmedi. Bu hassas saldırı hedef seçimi, saldırganın Balancer kod tabanını derinlemesine anladığını ve belirli havuz türlerindeki açıkları tespit edip daha güvenli olan diğer havuzlardan kaçındığını gösteriyor.

Saldırganlar, BatchSwaps (kullanıcıların birden fazla işlemi tek bir işlemde toplayabildiği, örneğin flash loan’lar ile kısa vadeli kredilerin aynı işlemde alınması ve geri ödenmesini içeren) ve stabil havuzlarda EXACT_OUT takaslarındaki büyütülmüş yuvarlama fonksiyonlarının kullanımıyla fon çalmışlar. Bu iki teknolojinin birleşimi, saldırının karmaşıklığını artıran anahtar unsurdur.

Yuvarlama fonksiyonları finansal sistemlerde küçük ama kritik öneme sahip detaylardır. Bu fonksiyonlar, token fiyatlandırması sırasında aşağı yuvarlama yaparak hesaplama hatalarını ve doğruluk kaybını önlemeyi amaçlar. Ancak, saldırganlar bu yuvarlama değerlerini manipüle etmiş ve BatchSwaps ile birlikte kullanarak stabil coin havuzlarından fonları çalmışlardır. Balancer ekibi raporunda şöyle diyor: “Birçok durumda, çalınan fonlar, iç bakiye olarak kalmış ve sonraki işlemlerle çekilmiştir.”

Bu saldırının incelikli yönü, küçük yuvarlama hatalarının birikerek büyük meblağlara ulaşmasıdır. Tek bir işlemde, yuvarlama hataları birkaç centlik seviyede olabilir; ancak saldırganlar, binlerce veya on binlerce işlemi paketleyerek bu küçük hataları toplamda büyük miktarlara çıkarabilirler. Flash loan kullanımı, bu etkiyi daha da büyütür çünkü saldırganlar, başlangıç sermayesi olmadan büyük ölçekli işlemler yapabilir; aynı işlemde büyük miktarda borç alıp arbitraj yapıp geri ödeyerek kar edebilirler.

Saldırı tekniklerinin analizi

BatchSwaps ile paket saldırı: Binlerce küçük arbitraj işlemini tek bir işlemde toplayarak yuvarlama hatalarını büyük tutarlara ulaştırmak

Flash Loan ile kaldıraçlı büyütme: Başlangıç sermayesi olmadan büyük fonlar kullanarak saldırı ölçeğini yüzlerce kat artırmak

EXACT_OUT açığının kullanımı: Belirli takas türlerindeki yuvarlama fonksiyonu zayıflıklarını hedef alarak diğer güvenlik kontrollerini aşmak

Teknik açıdan, bu saldırı, DeFi protokollerinin sayısal hassasiyetleri işlerken karşılaşabileceği sistematik riskleri ortaya koyuyor. Akıllı sözleşmeler, hesaplama verimliliği ile doğruluk arasında denge kurmak zorundadır; ancak bu denge, saldırganlar için bir açık oluşturabilir. Balancer’ın yuvarlama fonksiyonları normal şartlarda iyi çalışsa da, büyük ölçekli ve yoğun işlemler sırasında açıklar ortaya çıkabilir.

Saldırganların kimliği ve hazırlık süreci

Bu saldırganların, teknik açıdan uzman profesyoneller olduğu ve saldırı öncesinde aylarca hazırlık yaptığı düşünülüyor. Saldırıyı finanse etmek için, Tornado Cash aracılığıyla 0.1 ETH’lik küçük yatırımlar yapmışlar. Tornado Cash, kripto para karıştırma hizmeti olup, fonların zincir üzerindeki takibini zorlaştırır ve bu nedenle suç örgütleri tarafından tercih edilir.

0.1 ETH’lik küçük yatırımlar, takip edilmesi zor bir stratejidir. Saldırganlar büyük miktarda fonu tek seferde transfer etmek yerine, yüzlerce veya binlerce küçük işlemle dağıtarak izleri silmeye çalışır. Bu “dumanlılaştırma” taktiği, fonların kaynağını takip etmeyi neredeyse imkansız hale getirir; hatta profesyonel blockchain analiz şirketleri bile tam bir izleme yapamayabilir.

“Aylarca hazırlık” detayında, saldırının planlı ve uzmanlık gerektiren bir operasyon olduğu ortaya çıkıyor. Saldırganlar, Balancer kod tabanını detaylıca incelemiş, saldırı vektörlerini test etmiş, yerel ortamda simülasyonlar yapmış ve fonların akışını planlamış olabilir. Bu seviyede hazırlık, derin teknik bilgi, DeFi protokolüne hakimiyet ve blockchain analiz yetenekleri gerektirir.

Blockchain güvenlik şirketi Cyvers CEO’su Deddy Lavid’e göre, bu saldırı 2025 yılındaki en karmaşık saldırılardan biri. Cyvers, blockchain işlemlerini izleyen ve anormal aktiviteleri tespit eden bir güvenlik firmasıdır ve değerlendirmeleri oldukça önemlidir. “En karmaşık” olarak nitelendirilmesi, saldırının teknik yenilikçilik, gizlilik ve hassasiyet açısından yeni bir seviyeye ulaştığını gösteriyor.

Bu saldırı, internete açık cüzdanlar, likidite havuzları ve zincir üzeri fonların sürekli gelişen siber tehditlere karşı savunmasız olduğunu hatırlatıyor. DeFi protokollerinin açık kaynak olması, şeffaflık ve denetlenebilirlik sağlasa da, kodun araştırılmasını ve açıkların bulunmasını kolaylaştırır. Bu da, geliştiricilerin saldırganların aynı veya daha üstün teknik bilgiye sahip olabileceği varsayımıyla hareket etmesini gerektirir.

İzleme ve geri kazanım çalışmaları

(Kaynak: X)

Balancer, siber güvenlik ortakları ve diğer protokollerle işbirliği yaparak, çalınan fonların bir kısmını geri aldı veya dondurdu. Bunlar arasında yaklaşık 19 milyon dolar değerinde 5041 StakeWise stake ETH (osETH) ve yaklaşık 2 milyon dolar değerinde 13495 osGNO tokeni bulunuyor. Toplamda yaklaşık 21 milyon dolar tutarında fon geri kazanılmış olup, toplam çalınan fonların %18’ine karşılık geliyor. Bu, DeFi saldırılarında görece başarılı bir geri kazanım örneğidir.

Geri alınan veya dondurulan fonlar, ekosistem içi işbirliğinin önemini gösteriyor. osETH ve osGNO, belirli protokollerin tokenleri olup, bu protokollerin ekipleri, şüpheli adresleri tespit edip tokenleri dondürebiliyor. Bu mekanizma, merkezi olmayan yapıda, merkezi bir otoritenin müdahalesi olmadan çalışması açısından değerli. Her protokol, bilgi paylaşımı yapıp koordineli hareket ederek, saldırganların fonlarını kısıtlamaya çalışıyor.

Ekibin, saldırıya uğrayan havuzları geçici olarak durdurması ve yeni “saldırıya açık” havuzların oluşturulmasını engellemesi, alınan zorunlu ama acil bir karar. Bu, kullanıcı deneyimini olumsuz etkilerken, açıkların devam etmesi halinde daha büyük kayıplar yaşanabilir. Bu nedenle, durdurma kararı, sorumlu ve gerekli bir adım olarak görülüyor.

Balancer, saldırganlara ve kötü niyetli aktörlere %20 ödül teklif ederek, çalınan fonların geri kazanılmasını teşvik etti. Ancak, şu ana kadar ödülü alan olmadı. %20’lik ödül, yaklaşık 23 milyon dolar tutarında olup, oldukça cüretkar bir teklif. Bu ödülün neden alınmadığına dair birkaç olası neden var:

• Saldırganlar, kimliklerini gizlemek ve tespit edilmek istemiyor olabilir.
• Belki de, fonları aklayıp tamamen çekmek istiyorlar ve bu yüzden ödüle razı olmuyorlar.
• Organize suç veya devlet destekli operasyonlar, itibar kaybını daha önemli bulabilir.

Balancer’ın aldığı önlemler ve genel değerlendirme

Hızlı müdahale: Saldırı tespit edilince, etkilenmiş havuzlar durduruldu ve daha fazla zarar önlendi

İşbirliği ve ortaklık: StakeWise, Gnosis gibi protokollerle işbirliği yapılarak çalınan tokenler donduruldu

Şeffaf iletişim: Olay sonrası ilk raporlar hızla yayılarak, saldırı detayları ve alınan önlemler paylaşıldı

Ekonomik teşvikler: %20 ödül teklif edilmesine rağmen, şu ana kadar kimse ödülü almadı

Bu olay, DeFi güvenliği ve denetimlerin önemini tekrar hatırlatıyor ve protokol geliştirenlerin, açıkları önlemek için daha sıkı çalışmalar yapması gerektiğini gösteriyor.