Balancer оголосив про план компенсації в 8 мільйонів доларів: шлях до застава після вразливості на 110 мільйонів доларів

Після того, як Balancer DAO зазнав великого нападу на вразливість на суму 110 мільйонів доларів, було офіційно розпочато план повернення активів на суму 8 мільйонів доларів, що охоплює багатоканальні активи, такі як Ethereum, Polygon, Base та Arbitrum. Цей інцидент призвів до різкого зниження загальної заблокованої вартості протоколу (TVL) з 775 мільйонів доларів до 258 мільйонів доларів, ціна токена BAL впала приблизно на 30%. Це третій великий інцидент безпеки в історії Balancer і одна з п'яти найбільших втрат у сфері DeFi у 2024 році, що виявляє постійну вразливість смартконтрактів централізованих бірж.

Аналіз рамки компенсації: рятувальники-білі капелюхи та механізм повернення користувачів

Пропозиція компенсації, подана учасником Balancer DAO Xeonus, показує, що відновлені активи на суму 8 мільйонів доларів будуть розподілені пропорційно на основі даних моментального знімка з пулу на момент виникнення вразливості. Ця пропозиція дотримується раніше ухваленого протоколу «Протокол безпеки», в якому чітко вказано, що максимальна винагорода для білих хакерів становить 1 мільйон доларів за один випадок, а учасники повинні пройти повну процедуру KYC та перевірку на санкції. Варто зазначити, що кілька анонімних рятувальників в мережі Arbitrum вирішили відмовитися від отримання винагороди, що демонструє дух самодисципліни крипто-спільноти.

Відшкодування активів охоплює різноманітні токени, такі як WETH, rETH, WPOL та MaticX, користувачі отримають відшкодування, яке повністю відповідає виду їхніх оригінальних внесених активів. DAO розробляє спеціальний механізм подачі заявок, який буде реалізовано лише після схвалення громади через голосування. На технологічному рівні цей механізм вимагатиме від користувачів прийняття оновлених умов обслуговування, щоб забезпечити законність та відповідність процесу відшкодування. Такий дизайн не лише захищає права користувачів, але й створює захисну мережу для можливих юридичних спорів у майбутньому.

Окрім 8 мільйонів доларів, розподілених під контролем DAO, ще 19,7 мільйона доларів активів osETH та osGNO були успішно врятовані білими капелюшками StakeWise і будуть оброблені через незалежні канали. Крім того, внутрішня команда Balancer у співпраці з безпековою компанією Certora повернула 4,1 мільйона доларів, але через наявність попередньої угоди про обслуговування не відповідає умовам отримання винагороди для білих капелюшків. Такий багаторівневий підхід відображає гнучкість децентралізованих організацій у реагуванні на кризи.

Відновлення ключових даних активів у справі про вразливість

• Загальна сума збитків: понад 1.1 мільйона доларів
• Розподіл DAO: 8 мільйонів доларів (становить приблизно 7,3% від збитків)
• Сума рятування для білих капелюшків: 19,7 мільйона доларів США (StakeWise)
• Внутрішня сума повернення: 410 мільйонів доларів США (у співпраці з Certora)
• Оверлейні мережі: Ethereum, Polygon, Base, Arbitrum
• Під впливом токени: WETH, rETH, WPOL, MaticX тощо

Джерела вразливостей та глибока оцінка впливу на протокол

Вразливість від 3 листопада виникла через дефект контролю доступу в смартконтрактах страхового фонду Balancer v2, в результаті якого зловмисники незаконно витягли велику кількість ліквідності через механізм обходу прав. Експерти з безпеки блокчейну вказали, що ця вразливість є типовою логічною помилкою, а не складною криптографічною атакою, що свідчить про очевидні прогалини в аудиті коду та тестуванні. Як колись п'ята за величиною централізована біржа, цей інцидент безпеки Balancer знову викликав сумніви на ринку щодо надійності інфраструктури Децентралізованих фінансів.

Згідно з даними протоколу, наслідки вразливості були надзвичайно серйозними. Загальна заблокована вартість після інциденту різко впала на 66,7%, з 775 мільйонів доларів США до 258 мільйонів доларів США, багато постачальників ліквідності вирішили вивести свої кошти. Ринкові показники рідного токена BAL також були невтішними, близько 30% вартості випарувалося, що призвело до подвійних втрат для власників. Відновлення довіри вимагатиме часу, особливо враховуючи, що це вже третя значна безпекова подія в історії Balancer.

Порівняльний аналіз показує, що відновлювальні здатності Balancer піддадуться серйозному випробуванню. Посилаючись на траєкторію відновлення Curve після подібної вразливості в липні 2023 року, його TVL витратило 6 місяців, щоб повернутися до 70% від рівня до події. Виклики, з якими стикається Balancer, є ще більш складними, оскільки потрібно не лише виправити технічні вразливості, а й відновити довіру спільноти, повторно визначивши свою цінність на дедалі більш конкурентному ринку DEX.

Історичний аналіз та еволюція управління вразливостями безпеки

Проблеми безпеки Balancer не є випадковими. У червні 2021 року протокол втратив 500 тисяч доларів через вразливість повторного входу в смартконтракти; у серпні 2022 року атака на фронтенд призвела до втрати 238 тисяч доларів. Три великі інциденти безпеки створюють чітку схему: у міру ускладнення функцій протоколу, відповідно розширюється і площа атаки, а заходи безпеки не встигають оновлюватися. Накопичення такого технічного боргу врешті-решт досягло піку внаслідок цієї вразливості на 110 мільйонів доларів.

З точки зору управління, механізм реагування Balancer DAO на проблеми безпеки поступово вдосконалюється. Запропонований план компенсації ґрунтується на досвіді попереднього «Протоколу безпеки», встановлюючи стандартний процес співпраці з білими хакерами. На відміну від ситуації 2022 року, коли план компенсації був представлений лише через три місяці, швидкість реагування цього разу значно покращилася, що демонструє здатність децентралізованого управління до навчання в кризових ситуаціях.

Однак баланс між ефективністю управління та інвестиціями в безпеку залишає невирішену проблему. Записи в блокчейні показують, що перед виникненням уразливостей спільнота обговорювала пропозицію щодо збільшення бюджету на безпеку, але врешті-решт не змогла її затвердити через витрати. Це явище “недостатніх інвестицій у безпеку” є досить поширеним у сфері DeFi, оскільки проекти часто недооцінюють швидкість накопичення системних ризиків, переслідуючи інновації у функціонуванні та розширення екосистем.

Попередження та уроки безпечної екосистеми DeFi

Подія Balancer є однією з найбільших у 2024 році за масштабами втрат у сфері Децентралізованих фінансів (DeFi), яка має вплив, що виходить за межі окремого протоколу. За даними безпекових агентств, за 11 місяців 2024 року втрати в сфері DeFi через вразливості перевищили 1,8 мільярда доларів, що на 27% більше, ніж за аналогічний період минулого року. Ця тенденція свідчить про те, що, незважаючи на постійний прогрес у безпекових технологіях, технологічна складність атакуючих також зростає, створюючи конкурентну ситуацію, де вище піднімається один, вище піднімається інший.

З точки зору найкращих практик галузі, управління багатопідписом, механізм блокування часу та програми винагород за вразливості стали стандартними конфігураціями безпеки для протоколів Децентралізовані фінанси. Однак випадок Balancer показує, що навіть за впровадження цих заходів ризик не може бути повністю усунений. Нові безпекові рішення, такі як формальна верифікація та системи постійного моніторингу, набувають все більшої уваги, але високі витрати на впровадження ускладнюють їх доступність для малих і середніх протоколів.

Страхові протоколи відіграли обмежену, але важливу роль у цій події. Частина постраждалих постачальників ліквідності отримала відшкодування через децентралізовані страхові платформи, такі як Nexus Mutual, але між страховим покриттям і фактичними збитками все ще існує величезний розрив. Це явище недостатнього страхування відображає те, що глибина та ліквідність ринку DeFi страхування все ще обмежені, і не можуть повністю задовольнити вимоги до компенсації у випадках масштабних вразливостей.

Камінь спотикання управління кризами та стійкості галузі

План компенсацій Balancer на 8 мільйонів доларів, хоча й не може повністю компенсувати витрати користувачів, встановлює новий стандарт реагування на кризи в екосистемі DeFi. Після трьох значних інцидентів безпеки, накопичений протоколом досвід екстрених ситуацій став цінним активом для галузі. З посиленням регуляторного тиску та підвищенням обізнаності користувачів щодо безпеки, чи зможе безпека перетворитися з конкурентної переваги на базовий поріг, визначить простір виживання наступного покоління протоколів DeFi. Для всієї сфери децентралізованих фінансів шлях відновлення Balancer є не лише самовідновленням протоколу, а й каменем спотикання для перевірки того, чи зможе DeFi справді взяти на себе відповідальність за майбутню фінансову інфраструктуру.