Uneori tehnologia ne alunecă printre degete: Balancer, protocolul DeFi construit pe Ethereum, a raportat un atac asupra pool-urilor sale v2 care ar fi cauzat pierderi estimate la peste 128 de milioane de dolari. Incidentul s-a petrecut în ecosistemul descentralizat și a stârnit imediat îngrijorare în rândul actorilor din finanțele bazate pe blockchain, un domeniu care de la Genesis Block încoace a trecut prin scandaluri, multiple audituri și eforturi repetate de consolidare a securității.
Balancer funcționează ca un market maker automat și ca o infrastructură de lichiditate, oferind utilizatorilor posibilitatea de a crea pool-uri cu mixuri personalizate de tokenuri, de a depune active, de a primi comisioane și de a facilita schimburi. Tokenul de guvernanță BAL avea o capitalizare de piață de aproximativ 65 de milioane de dolari înainte de incident. Echipa Balancer a indicat că atacul a vizat doar Compostable Stable Pools din V2, detectat la 7:48 UTC, și că V3 și celelalte pool-uri nu au fost afectate. Într-un anunț succint, au sfătuit utilizatorii să fie prudenți în privința tentativelor de fraudă sau phishing, fără a oferi multe detalii tehnice în prima informare.
Cercetătorii în securitate au demarat rapid investigații. GoPlus Security susține că exploitul a pornit de la o eroare de rotunjire în calculele de swap din Vault. Practic, fiecare swap rotunjea în jos cantitățile de tokenuri, creând diferențe foarte mici. Acele diferențe mici, repetate de foarte multe ori prin funcția batchSwap, au ajuns să genereze o distorsiune de preț semnificativă. În practică, exploatatorul a transformat pierderi microscopice acumulate în profituri considerabile, un exemplu tipic în care detaliile aritmetice au o importanță mult mai mare decât par la prima vedere.
Alți experți propun o altă teorie, legată de autorizare și de modul în care Vault-urile V2 gestionează callback-urile. Conform lui Aditya Bajaj, un contract malițios ar fi manipulat apelurile către vault în timpul inițializării pool-urilor, ocolind anumite măsuri de protecție și permițând efectuarea de swap-uri neautorizate și modificări de sold în pool-uri interconectate. Până la ajungerea la un consens asupra metodei exacte folosite, Balancer a promis un raport post-mortem complet și continuă colaborarea cu cercetători de top în domeniul securității.
Contextul contează: Balancer V2 fusese auditat de 11 ori din 2021, cu diverse obiective ale examenelor, ceea ce arată că auditul nu oferă o imunizare completă împotriva tuturor vulnerabilităților, mai ales când e vorba de implementări complexe și de subtilități aritmetice. Atacul reaprinde întrebarea cât de mult se poate automatiza și audita, rămânând totuși un risc rezidual în codul care gestionează miliarde.
Situația a generat și tentative de manipulare: cineva a încercat să profite printr-un mesaj care părea a veni de la Balancer, oferind un soi de “bounty white-hat” de 20% din suma furată dacă hackerul ar fi returnat restul. Mesajul era bine formulat și replica tehnici de negociere, folosind presiune temporală și amenințări subtile legate de colaborarea cu forțele de ordine și firme de analiză blockchain. Acea tentativă secundară s-a dovedit a fi o înșelătorie, atacatorul pretinzând că deține metadate și access-loguri care ar fi identificat sursa tranzacțiilor. Astfel de încercări demonstrează cât de rapid apar oportuniști în jurul unui incident major, fie pentru a obține o parte din bani, fie pentru a păcăli alți participanți.
Jafurile de la Balancer se numără printre cele mai mari din 2025 și vin într-un an în care furturile atribuite Coreei de Nord au totalizat peste 2 miliarde de dolari până la începutul lui octombrie, inclusiv atacul asupra Bybit de 1, 5 miliarde în februarie. Nu există încă o atribuire clară pentru atacul asupra Balancer, dar comunitatea DeFi rămâne vigilentă, conștientă că atacurile sofisticate, fie prin erori de cod, fie prin manipulări de autorizare, pot provoca pierderi semnificative și pot eroda încrederea.
Raportul despre erorile de rotunjire în Vault și ipoteza manipulării callback-urilor ridică probleme tehnice concrete: cum proiectezi contracte smart rezistente la acumulări numerice, cine răspunde pentru verificări care par banale și cum comunică proiectele cu utilizatorii în timpul unei crize. Exemplele din text, Balancer V2, Compostable Stable Pools, funcția batchSwap, market cap-ul BAL de 65 milioane, detectarea la 7:48 UTC, arată că o combinație de audituri, bune practici de programare și monitorizare continuă este esențială. Dacă un protocol auditat de 11 ori poate fi totuși exploatat, ce înseamnă asta pentru utilizatorii care plasează active în pool-uri? Cum pot fi îmbunătățite rutinile de testare pentru a depista astfel de probleme aritmetice sau de autorizare înainte de a fi prea târziu?
Fii primul care comentează