Sự phản bội ở trung tâm của các cuộc khai thác Balancer

Khi những năm 2020 bắt đầu, DeFi đã tạo dấu ấn với nhiều người đam mê crypto—sự đổi mới đã phát triển mạnh mẽ, và Balancer là một ví dụ hoàn hảo về những gì ngành công nghiệp có thể cung cấp. Nó xuất hiện vào tháng 3 năm 2020, thời điểm mà Uniswap là ông lớn trong lĩnh vực nhà tạo lập thị trường tự động (AMM) và sàn giao dịch phi tập trung (DEX). Nhưng điều đó không ngăn cản Balancer; nó đã đặt ra mục tiêu làm những gì các người đi trước chưa làm được.

Giao thức đã tái tưởng tượng lại tính thanh khoản, không chỉ sao chép những gì các AMM khác đang làm. Balancer về cơ bản là giao điểm của một quỹ chỉ số và một sàn giao dịch. Nó cung cấp những tính năng chưa từng thấy, như các pool với nhiều hơn hai tài sản, tỷ lệ tùy chỉnh cho tất cả các token, và các tham số rất linh hoạt. Nói một cách đơn giản, Balancer linh hoạt, mạnh mẽ và có thể kết hợp với các ứng dụng DeFi khác.

Giao thức này là giấc mơ của mọi nhà phát triển và người canh tác năng suất khi nó ra mắt. Balancer thể hiện những gì tài chính mở trong lĩnh vực blockchain nên trông như thế nào với các sản phẩm mạnh mẽ, bao gồm các nhóm thông minh, tích hợp tăng cường và lộ trình do cộng đồng điều khiển. Hệ sinh thái đã bị cuốn hút; dự án tự hào có tổng giá trị bị khóa (TVL) là 3,5 tỷ đô la vào năm 2021 và hợp tác với các giao thức DeFi hàng đầu như Yearn, Aave và nhiều hơn nữa.

Tuy nhiên, chúng tôi sẽ không ở đây nếu một sự triển khai như vậy không có một mặt tối. Sự phức tạp tạo ra sự mong manh, và bên trong toán học tinh vi và các hợp đồng của Balancer ẩn chứa những vấn đề nghiêm trọng. Các kẻ tấn công đã gây ra hỗn loạn trên nền tảng, và giá trị mà nó nắm giữ đã giảm mạnh giữa năm 2021 và 2023. Vấn đề là những sự cố này có thể được ngăn chặn. Những thất bại trong tầm nhìn, quản trị và văn hóa an ninh đã dẫn đến những khai thác lặp đi lặp lại, mà cuối cùng, chẳng qua chỉ là những sự phản bội.

###Sự Tăng Trưởng: Điều Gì Đã Được Hứa Hẹn?

Khi Balancer ra mắt, nó đã vượt qua một trở ngại lớn trong DeFi, đó là sự cứng nhắc. Những đối thủ cạnh tranh đã được thiết lập như Uniswap cung cấp thanh khoản trong các pool bị giới hạn chỉ với hai tài sản có tỷ lệ bằng nhau là 50:50. Khi DeFi đang phát triển nhanh chóng, thiết lập này không đáp ứng được nhu cầu của những người dùng thông thái.

###Các Tính Năng Chính Khiến Balancer Nổi Bật

• Bể thông minh: Các bể của giao thức này là độc nhất, cung cấp phí tùy chỉnh, trọng số token và cân bằng động. Những khía cạnh này được kích hoạt bằng cách thuật toán hoặc thông qua các biện pháp quản trị.
• Khai thác thanh khoản: Người dùng được thưởng vượt ngoài khoản phí thu được cho việc đặt cược thanh khoản trong các pool thông qua token BAL và thông qua lợi nhuận từ bên thứ ba trong các pool được tăng cường chuyên biệt. Những ưu đãi này đã thúc đẩy việc áp dụng, thu hút người dùng ồ ạt từ các đối thủ cạnh tranh.
• Triển khai có thể kết hợp: Kiến trúc của Balancer tích hợp các triển khai cho vay phổ biến như Aave và Yearn, cho phép người dùng mở khóa các token sinh lãi mà không có trên các nền tảng này.
• Quản trị: Một năm sau khi giao thức ra mắt, các chủ sở hữu BAL có thể quyết định về kho bạc và lộ trình của nó, đảm bảo quản trị DAO hoàn toàn.

Balancer hứa hẹn với người dùng DeFi một thiên đường không giống ai. Tính linh hoạt chưa từng thấy, phần thưởng khổng lồ, quản trị do cộng đồng dẫn dắt, và nhiều tích hợp đã biến nó thành một đối thủ đáng gờm với bất kỳ DEX AMM nào vào thời điểm đó. Nhưng tất cả những yếu tố này lại mang đến sự phức tạp không cần thiết. Mỗi yếu tố trong số đó đều sinh ra những rủi ro mới, khiến nó trở thành mục tiêu cho những kẻ tấn công lợi dụng.

###Điểm Đột Phá—Điều Gì Đã Sai

Các cuộc tấn công liên tiếp đã làm tổn hại đến lòng tin. Balancer đã không thể theo kịp.

####Cuộc tấn công tái nhập chỉ đọc

Vào tháng 6 năm 2020, các kho của Balancer, được tích hợp với một lớp mang lại lợi suất chuyên biệt, cụ thể là token ERC-4626, đã bộc lộ những lỗ hổng lớn. Về cơ bản, những kẻ tấn công có thể thao tác số dư giữa giao dịch với aToken liên quan đến Aave và yToken liên quan đến Yearn; Balancer giả định tính bất biến của trạng thái trong những tình huống như vậy, nhưng đó không phải là trường hợp.

Khoảng 500.000 USD đã bị rút ra như một kết quả. Giao thức đã không theo kịp mô hình mối đe dọa của mình để giải quyết các vector tấn công mới đã xuất hiện từ các pool được tăng cường đổi mới của nó, đây là lý do cho sự áp dụng lớn của nó ngay từ đầu.

####Lỗ hổng của Hệ thống Tăng cường

Mặc dù không phải là một cuộc tấn công theo bất kỳ cách nào, ít nhất trong một khoảng thời gian ngắn, Balancer đã tiết lộ rằng họ đã phát hiện ra một rủi ro đáng lo ngại vào tháng 8 năm 2023 và đã đóng băng các pool được tăng cường của mình, kêu gọi các nhà cung cấp thanh khoản (LPs) rút tiền của họ. Mặc dù các biện pháp khẩn cấp đã được thực hiện một cách vội vã, hơn $200 triệu đã bị đe dọa bởi các tội phạm mạng.

Người dùng đã đặt câu hỏi một cách chính đáng rằng làm thế nào một lỗi quy mô lớn như vậy có thể tồn tại, đặc biệt khi các cuộc kiểm toán mạnh mẽ chắc chắn phải đã chỉ ra điều đó. Hóa ra, các đề xuất cho các cuộc kiểm toán sâu hơn đã bị DAO của Balancer từ chối cách đây vài tháng do lo ngại về chi phí.

####Khai thác hoạt động

####Các Sự Cố Khác Đã Làm Xói Mòn Niềm Tin

Các vấn đề đã lan rộng khắp nơi - đã có những trường hợp khác cũng xảy ra trong quá khứ của Balancer. Chẳng hạn, Balancer đã không thiết lập các tham số đúng cho các pool của mình, tạo điều kiện cho việc thao túng giá cả. Ngoài ra, những kẻ tấn công thậm chí đã phát động các cuộc tấn công vay flash loan bằng cách thao túng các cơ chế arbitrage và rút cạn thanh khoản từ các pool. Những sự kiện đáng ngờ không dừng lại ở đó - các thành viên DAO nổi loạn đã được phép thực hiện các vụ rug pulls thông qua các pool công khai tùy chỉnh mà họ triển khai. Việc thiếu các cuộc kiểm toán đã cho phép họ lừa đảo các LP không nghi ngờ.

###Hậu quả—Thiệt hại cho Giao thức, Người dùng và Niềm tin

Khi người dùng mất khoảng $3 triệu tổng cộng, với hơn $10 triệu gặp rủi ro do các thực tiễn kém của Balancer, dự án đã phải chịu tổn thất danh tiếng to lớn. Các vụ hack là phổ biến trong các giao thức DeFi, nhưng những thất bại lặp đi lặp lại mà không có bất kỳ trách nhiệm nào từ đội ngũ cốt lõi đã khiến cộng đồng khó chấp nhận.

Cuối năm 2023 đánh dấu sự giảm TVL của Balancer, một sự sụt giảm xuống dưới $600 triệu từ hơn 3,5 tỷ đô la mà giao thức này đã có cách đây vài năm. Trong khi nhiều điều trong số đó có thể được quy cho các lực lượng thị trường và sự sụp đổ của token BAL, những người mới tham gia như Maverick và Ambient đã hút đi người dùng của nó. Các nền tảng đã được thiết lập như Curve và Uniswap, nhờ vào chức năng mạnh mẽ của chúng, cũng đã hút đi người dùng của Balancer trong khi vẫn giữ được người dùng của chính họ mặc dù các dự án mới đang gia nhập.

Trong bối cảnh hỗn loạn, khi các nhà đóng góp chính phải hành động, các đề xuất chứng kiến tỷ lệ cử tri thấp và sự xem xét chậm chạp, với các cuộc kiểm toán, việc đóng băng quỹ khẩn cấp và các cải cách cấu trúc đối với Balancer DAO bị đình trệ. DAO đã bị cộng đồng lớn hơn chỉ trích vì sự không hành động, ẩn nấp sau sự thử nghiệm và rủi ro đạo đức, trong khi người dùng của nó phải gánh chịu hậu quả.

Tự nhiên, nhiều kiểm toán viên an ninh độc lập hợp tác với nền tảng đã cắt đứt mối quan hệ và cáo buộc cấu trúc DAO không thể đưa ra quyết định ngay lập tức và không ưu tiên bảo vệ người dùng.

###Phân tích—Tại sao Balancer lại thất bại?

Sự gia tăng của Balancer đã bị kìm hãm bởi những mối đe dọa có thể giải quyết. Hãy cùng xem xét kỹ lưỡng.

####Độ phức tạp mà không có rào cản

Thiết kế mở của giao thức đảm bảo rằng bất kỳ ai cũng có thể triển khai các pool. Điều này hóa ra là một cơn ác mộng, vì không có các biện pháp tự động bảo vệ nào và quy trình kiểm toán kém của nó. Những kiểm tra tốt hơn có thể đã ngăn chặn các vấn đề phát sinh.

####Sự tự tin quá mức vào khả năng kết hợp

Sự tích hợp liên tục của Balancer đã chứng minh là sự sụp đổ của nó. Dự án đã chứng kiến sự chấp nhận rộng rãi nhờ vào việc cung cấp lợi suất tốt hơn, nhưng lại bỏ qua vấn đề bảo mật. Aave và Yearn đã thay đổi hành vi để duy trì tính ổn định, nhưng giao thức mà chúng tôi đang tập trung không theo kịp, và các pool của nó đã trở nên không ổn định.

####Mô Hình Đe Dọa Bị Đánh Giá Thấp

Giao thức không chứng kiến các lỗ hổng zero-day. Tất cả đều là những điểm yếu dễ thấy trong thiết kế của nó. Các biện pháp bảo mật đã giải quyết các hợp đồng cốt lõi nhưng để lại các trường hợp biên, cho phép kẻ tấn công tấn công các LP.

####Quản trị không đầy đủ

Quyết định do cộng đồng dẫn dắt là một nguyên tắc cốt lõi của DeFi. Tuy nhiên, các DAO phải được cấu trúc để yêu cầu hành động ngay lập tức. Không có điều nào trong số này được hiện thực hóa, dẫn đến việc mất vài ngày trước khi các biện pháp cần thiết có thể được thực hiện để lấp đầy những khoảng trống an ninh.

####Rủi ro đạo đức và các yếu tố khuyến khích

Cuối cùng, Balancer chỉ hoạt động như một cơ sở hạ tầng, trong khi tự quảng cáo là tập trung vào cộng đồng. Nó hứa hẹn lợi suất cao nhưng để người dùng phải gánh chịu tất cả các rủi ro. Các khoản thua lỗ tài chính đã rơi vào tay LPs chứ không phải giao thức.

###Bài học cho Hệ sinh thái Crypto

Nếu có điều gì tốt mà câu chuyện về Balancer mang lại, đó là những bài học mà lĩnh vực crypto có thể áp dụng.

####Tính khả thi ≠ An toàn

Các giao thức có thể tích hợp nhiều lớp để trình bày và cung cấp lợi suất. Về lý thuyết, điều đó rất tuyệt nếu các biện pháp bảo mật cân bằng được rủi ro. Nhưng, sự khả năng kết hợp tăng lên tạo ra sự phức tạp ngày càng tăng, để lại một câu hỏi lớn cần được đặt ra: Liệu các dự án có thực sự nên tận dụng nhiều tích hợp như vậy không?

####Bảo mật phải liên tục

Ngay cả khi các cuộc kiểm toán kỹ lưỡng được thực hiện, chúng chỉ là những bức ảnh tĩnh về mức độ bảo mật tại một số thời điểm nhất định. Sự vững chắc thực sự phát sinh từ các đánh giá liên tục, các bản vá nhanh chóng, giám sát 24/7 và mô hình hóa rủi ro thích hợp.

####Triển Khai Không Cần Phép Cần Công Cụ Tốt Hơn

Nếu các giao thức cho phép người dùng triển khai các trường hợp sử dụng, thì cần phải thực hiện kiểm toán tự động, cảnh báo an toàn và các bộ ngắt mạch. Nếu không có các biện pháp bảo vệ cần thiết, đó là sự hỗn loạn đang chờ xảy ra.

####Quản trị phải linh hoạt

Khi các DAO quản lý hàng triệu trong quỹ, việc thúc đẩy các biện pháp bảo mật là điều cần thiết ngay lúc này. Điều đó có thể đến từ các hội đồng khẩn cấp và các quyền hạn được ủy quyền. Việc không có những biện pháp như vậy dẫn đến việc ra quyết định bị chậm trễ, và đến lúc đó, những kẻ tấn công có thể đã thò tay vào kho.

####Sự minh bạch phải bao gồm giao tiếp

Các dự án phải thiết lập các cảnh báo dễ hiểu, bảng điều khiển rủi ro và báo cáo sau sự cố cho cả nhà phát triển và người dùng. Việc chỉ dính líu vào các kho lưu trữ kỹ thuật là không đủ trong các bối cảnh tài chính rủi ro.

####Nợ Đổi Mới Là Có Thật

Với mỗi tính năng mới được triển khai, nợ đổi mới được thêm vào dưới dạng chi phí phát sinh do các quy trình bảo mật, giám sát và quản trị. Nếu đổi mới vượt quá khả năng, tính an toàn sẽ bị ảnh hưởng, và nợ sẽ phát triển theo một con đường mới—lợi dụng.

###Balancer: Một Giao thức Quá Thông Minh Đến Nỗi Tự Hại?

Những gì đã xảy ra với Balancer có thể có vẻ như là nhiều cuộc tấn công đã gây ra tất cả thiệt hại. Nhưng nó không chỉ đơn giản như vậy. Đó là về một sự triển khai trở nên quá phức tạp và nhắm đến quá nhiều mà không quan sát đúng mức độ thận trọng. Giao thức hóa ra đã trở thành nạn nhân của chính thành công của nó; khả năng kết hợp mà nó được ca ngợi đã dẫn đến những rủi ro khiến nó sụp đổ.

Sự phản bội đang diễn ra không chỉ là những kẻ xấu lần lượt khai thác các lỗ hổng, mà còn làm nổi bật mức độ rủi ro tính khả thi trong crypto. Nó mang tính hệ thống hơn—các quy trình quản trị không thể theo kịp với các lỗ hổng của pool thông minh và các biện pháp an ninh không thể giải quyết được sự cởi mở mà nó mang lại.

Cuộc tranh cãi về giao thức Balancer đã được khắc sâu. Liệu DEX AMM có thể trở lại vinh quang hay không vẫn là một câu hỏi.