Зрада в серці експлуатацій Balancer

На початку 2020-х років DeFi справила враження на численних криптоентузіастів—інновація зросла вражаюче, і Balancer був ідеальним прикладом того, що індустрія могла запропонувати. Він з'явився в березні 2020 року, коли Uniswap був лідером на сцені автоматизованих маркетмейкерів (AMM) децентралізованих бірж (DEX). Але це не зупинило Balancer; він вирішив зробити те, чого не зробили його попередники.

Протокол переосмислив ліквідність, а не просто копіював те, що робили інші AMM. Balancer, по суті, був перехрестям індексного фонду та біржі. Він пропонував невидані функції, такі як пул з більш ніж двома активами, настроювані ваги для всіх токенів і дуже динамічні параметри. Простими словами, Balancer був гнучким, потужним і композабельним з іншими реалізаціями DeFi.

Цей протокол був мрією кожного розробника та фермерів прибутку, коли він був запущений. Balancer випромінював те, як повинна виглядати відкрита фінансова система в царині блокчейну, зі своїми потужними пропозиціями, включаючи смарт-пули, підвищені інтеграції та дорожню карту, що керується спільнотою. Екосистема була захоплена; проект похвалився загальною заблокованою вартістю (TVL) у 3,5 мільярда доларів у 2021 році та співпрацював з провідними протоколами DeFi, такими як Yearn, Aave та іншими.

Проте, ми б не були тут, якби реалізація такого роду не мала зловісного боку. Складність породжує крихкість, і під капотом складної математики та контрактів Balancer ховалися масштабні проблеми. Зловмисники завдали шкоди платформі, і її вартість різко знизилася між 2021 і 2023 роками. Проблема полягала в тому, що ці інциденти були запобігти. Провали у передбаченні, управлінні та культурі безпеки призвели до повторних експлойтів, які в кінцевому рахунку були нічим іншим, як зрада.

Підйом: Що було обіцяно?

Коли Balancer запустився, він подолав серйозний недолік у DeFi, а саме жорсткість. Існуючі, усталені конкуренти, такі як Uniswap, пропонували ліквідність у пулах, які були обмежені двома активами з рівними співвідношеннями 50:50. Оскільки DeFi швидко розвивався, ця схема не відповідала потребам досвідчених користувачів.

Ключові особливості, які виділяють Balancer

• Смарт-пули: Пули протоколу були унікальними, пропонуючи налаштовувані збори, ваги токенів та динамічний ребаланс. Ці аспекти активувалися або алгоритмічно, або через заходи управління.
• Ліквідність майнінг: Користувачі отримували винагороду понад зібрані збори за ставку ліквідності в пулах через токен BAL та через повернення від третіх сторін у спеціалізованих підвищених пулах. Ці стимули надзвичайно сприяли прийняттю, приваблюючи користувачів у великій кількості від конкурентів.
• Компонована реалізація: Архітектура Balancer інтегрувала популярні реалізації кредитування, такі як Aave та Yearn, що дозволяє користувачам розблокувати токени, що приносять дохід, які були недоступні на вказаних платформах.
• Управління: Через рік після запуску протоколу, володарі BAL могли б ухвалювати рішення щодо його скарбниці та дорожньої карти, забезпечуючи повне управління DAO.

Balancer обіцяв користувачам DeFi утопію, якої не було раніше. Невидима гнучкість, величезні винагороди, управління, що ведеться спільнотою, та численні інтеграції зробили його грізним конкурентом для будь-якого AMM DEX на той час. Але всі ці рухомі частини внесли непотрібну складність. Кожен з них породжував нові ризики, відкриваючи сезон для атакуючих, щоб скористатися цим.

Точка лому—Що пішло не так

Експлойд за експлойдом знищував довіру. Balancer не зміг встигнути.

Атака повторного входу тільки для читання

У червні 2020 року сховища Balancer, які були інтегровані зі спеціалізованою обгорткою з прибутковістю, а саме токеном ERC-4626, мали величезні вразливості. По суті, зловмисники могли маніпулювати балансами під час транзакції з aToken, пов’язаним з Aave, і yToken, пов’язаним з Yearn; Balancer припускав незмінність стану в таких сценаріях, але це було не так.

В результаті було вкрадено близько 500 000 доларів. Протокол не зміг підтримувати своє моделювання загроз, щоб вирішити нові вектори атак, які виникли внаслідок його інноваційних підвищених пулів, які були причиною його масового прийняття на перший погляд.

Вразливість підсиленого пулу

Хоча це не було атакою в жодному разі, принаймні на короткий час, Balancer оголосив, що виявив тривожний ризик у серпні 2023 року і заморозив свої підсилені пули, закликаючи постачальників ліквідності (LPs) вивести свої кошти. Хоча надзвичайні заходи були вжиті в поспішному порядку, понад $200 мільйонів було під загрозою для кіберзлочинців.

Користувачі справедливо запитували, як могла існувати помилка такого масштабу, особливо коли надійні аудити, напевно, мали б її виявити. Виявляється, що пропозиції щодо глибших аудитів були відхилені DAO Balancer кілька місяців тому через занепокоєння щодо витрат.

Активна експлуатація

Інші інциденти, які підривають довіру

Проблеми були поширені далеко і широко — існували й інші випадки, які також відбувалися в минулому Balancer. Наприклад, Balancer не зміг налаштувати правильні параметри для своїх пулів, що створило можливості для маніпуляцій з цінами. Крім того, зловмисники навіть запустили експлойти з миттєвими кредитами, використовуючи механіку арбітражу та виснажуючи ліквідність з пулів. Сумнівні події на цьому не закінчилися — несанкціоновані члени DAO отримали можливість запускати rug pulls через спеціальні публічні пули, які вони розгорнули. Відсутність аудитів дозволила їм обманювати нічого не підозрюючих LP.

Наслідки—Збитки для Протоколу, Користувачів та Довіри

Оскільки користувачі втратили близько $3 мільйона колективно, з понад $10 мільйоном під загрозою через погані практики Balancer, проект зазнав величезних репутаційних втрат. Хакерські атаки є звичайним явищем серед DeFi протоколів, але повторювані невдачі, які не викликали жодної відповідальності серед основної команди, ускладнили прийняття цього спільнотою.

Наприкінці 2023 року відбувся спад TVL Balancer, зниження нижче $600 мільйонів з понад 3,5 мільярдів доларів, якими протокол похвалявся кілька років тому. Хоча багато з цього можна віднести до ринкових сил та краху токена BAL, нові учасники, такі як Maverick і Ambient, відвернули його користувачів. Встановлені платформи, такі як Curve і Uniswap, завдяки своїй надійній роботі, також відвернули користувачів Balancer, зберігши своїх, незважаючи на появу нових проектів.

Серед усього хаосу, коли ключові учасники мали вжити заходів, пропозиції спостерігали низьку явку виборців і повільні обговорення, з аудитами, екстреним заморожуванням пулу та структурними реформами Balancer DAO, які були призупинені. DAO було розкритиковано більшою частиною його громади за бездіяльність, приховування за експериментами та моральний ризик, в той час як його користувачі зазнавали наслідків.

Природно, багато незалежних аудиторів безпеки, які співпрацювали з платформою, розірвали зв'язки і звинуватили структуру DAO в тому, що вона не здатна приймати термінові рішення і не ставить на перше місце захист користувачів.

Аналіз—Чому Balancer зазнав невдачі?

Зростання Balancer було пригнічене загрозами, які можна було усунути. Давайте розглянемо це ближче.

Складність без обмежень

Відкритий дизайн протоколу забезпечив можливість розгортання пулів для будь-кого. Це виявилося жахом, враховуючи, що не було автоматизованих засобів захисту, а його недостатні процеси аудиту. Кращі перевірки могли б запобігти виникненню проблем.

Надмірна впевненість у композабельності

Безперервні інтеграції Balancer виявилися його падінням. Проект став свідком масового впровадження, пропонуючи кращі доходи, але залишив без уваги безпеку. Aave та Yearn змінили свою поведінку для підтримки стабільності, але протокол, на якому ми зосереджуємося, не встиг за змінами, і його пул став нестабільним.

Недооцінене моделювання загроз

Протокол не зазнав експлойтів нульового дня. Усі з них були передбачуваними слабкостями в його дизайні. Заходи безпеки стосувалися основних контрактів, але залишили крайні випадки, дозволяючи зловмисникам жертвувати LP.

Непридатне управління

Прийняття рішень, що ґрунтується на спільноті, є основним принципом DeFi. Однак DAOs повинні бути структуровані так, щоб вимагати термінових дій. Нічого з цього не було реалізовано, в результаті чого пройшло кілька днів, перш ніж необхідні заходи могли бути вжиті для усунення прогалин у безпеці.

Моральний ризик та стимули

В кінці дня Balancer лише працював як інфраструктура, при цьому заявляючи про свою орієнтацію на спільноту. Він обіцяв високі доходи, але залишав користувачів з усіма ризиками. Фінансові втрати лягли на LP, а не на сам протокол.

Уроки для криптоекосистеми

Якщо щось добре виникло з саги Balancer, то це уроки, які крипто-ландшафт може засвоїти.

Композиційність ≠ Безпека

Протоколи можуть інтегрувати численні шари, щоб демонструвати та пропонувати доходи. В теорії це чудово, якщо заходи безпеки збалансовують ризики. Але зростаюча композіційність призводить до зростаючої складності, ставлячи важливе питання: Чи дійсно проекти повинні використовувати так багато інтеграцій?

Безпека повинна бути безперервною

Навіть коли проводяться ретельні аудити, вони є лише моментними знімками безпеки в певні моменти часу. Справжня надійність виникає з постійних перевірок, швидких виправлень, цілодобового моніторингу та відповідного моделювання ризиків.

Дозволені розгортання потребують кращих інструментів

Якщо протоколи дозволяють користувачам впроваджувати варіанти використання, необхідно впровадити автоматизовані аудити, застереження про безпеку та аварійні зупинки. Без необхідних заходів захисту це хаос, що чекає на свій час.

Управління повинно бути гнучким

Коли DAO управляють мільйонами в скарбницях, прискорення заходів безпеки є нагальною потребою. Це може бути досягнуто через надзвичайні ради та делеговані повноваження. Відсутність таких заходів призводить до затримки у прийнятті рішень, в той час як зловмисники вже могли б втиснути свої руки в кошик.

Прозорість має включати спілкування

Проекти повинні впроваджувати зрозумілі попередження, інформаційні панелі ризиків та аналізи після інцидентів для розробників і користувачів. Придержуватися технічних репозиторіїв не достатньо в ризикованих фінансових ландшафтах.

Інноваційний борг є реальним

З кожною новою функцією, що впроваджується, накопичується борг інновацій у вигляді витрат, зумовлених безпекою, моніторингом і процесами управління. Якщо інновації перевищують можливості, безпека страждає, і борг набуває нового шляху — експлуатації.

Balancer: Протокол, занадто розумний для власного добра?

Те, що сталося з Balancer, може здатися, що численні експлойти завдали всього збитку. Але це більше, ніж це. Це про імплементацію, яка стала занадто складною і прагнула до занадто великого, не дотримуючись належної обережності. Протокол виявився жертвою власного успіху; композабельність, за яку його хвалили, призвела до ризиків, які його зруйнували.

Зрада, що відбувалася, була більшою, ніж просто погані актори, які по черзі використовували вразливості, підкреслюючи ступінь ризиків композабельності в криптовалюті. Це було більш системним — процеси управління, які не могли впоратися з вразливостями смарт-пулів, і заходи безпеки, які не змогли вирішити питання відкритості, що надається.

Скандал з протоколом Balancer закарбований в камені. Чи зможе AMM DEX повернутися до слави, залишається питанням.