چگونه ۱۱ مرتبه حسابرسی امنیتی هم نتوانست از هک ۱۲۸ میلیون دلاری بالانسر جلوگیری کند

سال‌ها بود که Balancer به‌عنوان یکی از قابل‌اعتمادترین پروژه‌های حوزه‌ی دیفای شناخته می‌شد؛ پروتکلی که بدون هیچ حاشیه یا رسوایی از چندین بازار نزولی، حسابرسی امنیتی و یکپارچه‌سازی با پروژه‌های مختلف جان سالم به در برده بود.

اما این اعتبار در ۳ نوامبر فرو ریخت؛ زمانی که شرکت امنیت بلاکچین PeckShield گزارش داد بالانسر و چند نسخه‌ی مشابه آن (Forks) درگیر یک حمله‌ی فعال هستند که به‌صورت هم‌زمان در چند شبکه‌ی بلاکچینی در حال گسترش است.

تنها چند ساعت بعد، بیش از ۱۲۸ میلیون دلار از دست رفت؛ استخرهای نقدینگی تخلیه شدند، پروتکل‌ها از کار افتادند و سرمایه‌گذاران در شوک فرو رفتند.

بر اساس داده‌های PeckShield، بیشترین خسارت مربوط به نسخه‌ی بالانسر در شبکه‌ی اتریوم بود که حدود ۱۰۰ میلیون دلار ضرر کرد. شبکه‌ی Berachain با ۱۲.۹ میلیون دلار در رتبه‌ی بعد قرار گرفت و سایر شبکه‌ها از جمله Arbitrum، Base، Sonic، Optimism و Polygon نیز با وجود سهم کمتر، همچنان متحمل زیان‌های قابل‌توجهی شدند.

در جریان این حمله، تیم Balancer اعلام کرد که یک آسیب‌پذیری احتمالی در استخرهای نسخه‌ی دوم (v2) شناسایی شده و تیم‌های فنی و امنیتی آن با فوریت در حال بررسی موضوع هستند.

با این حال، این اطلاعیه تأثیر چندانی در آرام‌کردن اوضاع نداشت و موج برداشت سرمایه از سوی پروژه‌های یکپارچه‌شده و فورک‌های مختلف ادامه یافت.

تا پایان همان روز، داده‌های DeFiLlama نشان داد که ارزش کل قفل‌شده (TVL) در بالانسر حدود ۴۶ درصد کاهش یافته و از ۷۷۰ میلیون دلار به حدود ۴۲۲ میلیون دلار رسیده است.

چه اتفاقی در حال رخ دادن است؟

بررسی‌های اولیه‌ی شرکت امنیت بلاکچین Phalcon نشان می‌دهد که مهاجمان، توکن‌های استخر بالانسر (BPT) را هدف قرار داده است؛ این توکن‌ها در واقع نشان‌دهنده‌ی سهم کاربران از استخرهای نقدینگی هستند.

به گفته‌ی این شرکت، آسیب‌پذیری از نحوه‌ی محاسبه‌ی قیمت استخرها در زمان تراکنش‌های دسته‌ای (Batch Swaps) ناشی می‌شد. مهاجمان با دست‌کاری در منطق محاسباتی سیستم توانستند داده‌های قیمت داخلی را تغییر دهند و نوعی عدم‌تعادل مصنوعی در استخر ایجاد کنند؛ وضعیتی که به آنها اجازه داد توکن‌ها را پیش از اصلاح خودکار سیستم برداشت کنند.

تحلیلگر ارزهای دیجیتال، Adi نوشت:

“مجوزدهی نادرست و نحوه‌ی مدیریت بازخوانی (Callback) به مهاجمین اجازه داد که از مکانیزم‌های محافظتی عبور کنند. این موضوع امکان تراکنش‌های غیرمجاز و دستکاری موجودی در استخرهای متصل به هم را فراهم کرد و دارایی‌ها را در فاصله‌ای کوتاه (چند دقیقه) تخلیه کرد.”

در همین حال، ساختار چندلایه و انعطاف‌پذیر (Composable Vault) بالانسر که سال‌ها به دلیل انعطاف‌پذیری‌اش تحسین می‌شد، شدت آسیب را افزایش داد. از آنجا که صندوق‌ها (Vault) می‌توانند به‌طور پویا به یکدیگر متصل شوند و دارایی‌ها یا داده‌های همدیگر را مورد استفاده قرار دهند، این دستکاری به‌سرعت در استخرهای مرتبط گسترش یافت.

جالب اینجاست که Conor Grogan از Coinbase اشاره کرد که روش مهاجمین، نشانه‌ای از تخصص حرفه‌ای بود.

او گفت که مهاجمین ابتدا ۱۰۰ اتریوم از Tornado Cash وارد کیف پول خود کرده بودند که احتمالاً مربوط به حملات قبلی است.

Grogan نوشت:

“معمولاً کسی ۱۰۰ اتریوم را فقط برای تفریح در Tornado Cash قرار نمی‌دهد.”

و الگوی تراکنش‌ها را نشانه‌ای از یک هکر باتجربه و فعال قبلی دانست.

فروپاشی اعتماد در دیفای

اگرچه حمله‌ی انجام‌شده ماهیتی فنی داشت، اما اثر آن روانی بود.

بالانسر مدت‌ها به‌عنوان محلی محافظه‌کارانه برای ارائه‌دهندگان نقدینگی شناخته می‌شد؛ جایی که می‌شد دارایی‌ها را نگه داری کرد و بازدهی متوسط و پایدار دریافت کرد. طول عمر پروژه، حسابرسی‌ها و یکپارچه‌سازی با پلتفرم‌های برجسته‌ی دیفای باعث ایجاد توهمی از ایمنی و امنیت شده بود. رخنه‌ی ۳ نوامبر، این تصور را یک شبه نابود کرد.

Lefteris Karapetsas، بنیان‌گذار پلتفرم کریپتویی Rotki آن را «فروپاشی اعتماد» خواند و نه صرفاً یک هک ساده در پلتفرم دیفای.

او با تأسف به این نکته اشاره کرد:

“یک پروتکل که از ۲۰۲۰ فعال است، حسابرسی شده و به‌طور گسترده استفاده می‌شود، باز هم می‌تواند تقریباً کل ارزش قفل‌شده (TVL) خود را از دست بدهد. این یک هشدار جدی برای هر کسی است که فکر می‌کند دیفای ثابت است.”

این واکنش احساس کلی بازار را منعکس می‌کرد. در بازاری که خودداری از اعتماد به شخص ثالث و کد قابل تأیید ارزشمند است، اعتماد صریح جای خود را به اطمینان پنهان داده بود که پایه‌ی نهان دیفای به شمار می‌رفت.

ناکامی بالانسر نشان داد که حتی سیستم‌های کاملاً ریاضی و منطقی هم در برابر پیچیدگی‌های پیش‌بینی‌نشده آسیب‌پذیرند.

Robdog توسعه‌دهنده‌ی ناشناس Cork Protocol گفت:

“با اینکه بنیان‌های دیفای هر روز امن‌تر می‌شوند، واقعیت تلخ این است که ریسک قراردادهای هوشمند همیشه اطراف ما وجود دارد.”

حمله به بالانسر در لحظه‌ای حساس برای دیفای رخ داد و یک دوره کوتاه آرامش را از بین برد. بر اساس گزارش PeckShield، در ماه اکتبر کل ضررهای ناشی از هک‌ها به کمترین میزان سالانه، یعنی تنها ۱۸ میلیون دلار، کاهش یافته بود.

با این حال، تنها یک حادثه در نوامبر باعث شد این رقم به بیش از ۱۲۰ میلیون دلار افزایش یابد و نوامبر را به رتبه‌ سوم درمیان بدترین ماه از نظر نفوذها در دیفای در سال ۲۰۲۵ تبدیل کند.

در عین حال، این حمله یک پارادوکس بنیادین در قلب دیفای را نشان می‌دهد: قابلیت ترکیب‌پذیری (Composability)، ویژگی‌ای که اجازه می‌دهد پروتکل‌ها به هم متصل شوند و روی یکدیگر ساخته شوند، همزمان ریسک سیستمیک را هم افزایش می‌دهد.

وقتی یک پروتکل کلیدی مثل Balancer دچار مشکل می‌شود، تأثیر آن فوراً در شبکه‌هایی که به آن وابسته‌اند گسترش می‌یابد.

در شبکه‌ی Berachain، اعتبارسنج‌ها تولید بلاک را متوقف کردند تا از انتشار مشکل جلوگیری شود. سایر پروتکل‌ها نیز با تعلیق موقت عملیات وام‌دهی و پل‌سازی (Bridging) واکنش نشان دادند.

این اقدامات سریع، ضررها را محدود کردند، اما در عین حال یک حقیقت بزرگ‌تر را نیز آشکار کردند، دیفای بدون هماهنگی سازوکارهای عمل می‌کند که در سیستم مالی سنتی وجود دارند.

در این فضا ناظر، بانک مرکزی یا پشتوانه‌ی اجباری وجود ندارد. مدیریت بحران بیشتر به توسعه‌دهندگان و حسابرسان وابسته است که با هم و اغلب در عرض چند دقیقه تلاش می‌کنند تا تبعات را کنترل کنند.

با توجه به این موضوع، Robdog گفت:

“این یک یادآوری خوب است برای اینکه چرا باید زیرساخت‌های مدیریت ریسک بهتری را توسعه دهیم.”

فراتر از ضرر فنی فوری، آسیب به اعتماد ممکن است سخت‌تر بازگردد.

هر حمله‌ی بزرگ، اعتماد به وعده‌ی دیفای برای کد خودتنظیم‌شونده را تضعیف می‌کند. برای سرمایه‌گذاران نهادی که به فکر ورود به این صنعت هستند، شکست‌های مکرر نشان می‌دهد که بازارهای غیرمتمرکز هنوز در مرحله‌ی آزمایشی قرار دارند.

Karapetsas اشاره کرد:

“هیچ سرمایه‌ی جدی‌ای در سیستم‌هایی با این میزان شکنندگی سرمایه‌گذاری نمی‌کند.”

این تصور در حال شکل‌دهی سیاست‌ها در اقتصادهای بزرگ جهان است.

Suhail Kakar، توسعه‌دهنده برجسته وب۳، پس از حمله به بالانسر به واقعیتی تلخ اشاره کرد: حتی چندین حسابرسی امنیتی مشهور هم نمی‌تواند امنیت دیفای را تضمین کند.

او توضیح داد که بالانسر بیش از ده حسابرسی را پشت سر گذاشته و قرارداد اصلی صندوق آن توسط چند شرکت مستقل بررسی شده بود؛ با این حال، پروتکل دچار نفوذ بزرگی شد.

نکته‌ی Kakar نشان می‌دهد که در صنعت دیفای، عبارت «حسابرسی شده توسط X» دیگر به معنی بی‌خطایی مطلق نیست؛ بلکه نشان‌دهنده‌ی پیچیدگی ذاتی و غیرقابل پیش‌بینی بودن سیستم‌های غیرمتمرکز است، جایی که حتی کدهای کاملاً تست‌شده می‌توانند آسیب‌پذیری‌های ناشناخته داشته باشند.

مقامات ایالات متحده در حال تدوین چارچوب‌هایی هستند که مقرراتی برای پروتکل‌های دیفای معرفی کنند. ناظران صنعت پیش‌بینی می‌کنند که حمله به بالانسر این تلاش‌ها را تسریع کند زیرا سیاست‌گذاران در تلاش‌اند با افزایش ریسک ناشی از ادغام روزافزون ارزهای دیجیتال با سیستم مالی سنتی مقابله کنند.