Balancer Protokolü, bilgisayar korsanlarının v2 havuzlarını hedef aldığını ve kayıpların 128 milyon dolardan fazla olduğu tahmin edildiğini duyurdu.
Balancer, otomatik bir piyasa yapıcı ve likidite altyapı katmanı olarak Ethereum blockchain üzerine inşa edilmiş merkezi olmayan bir finans (DeFi) protokolüdür.
Özel token karışımlarına sahip esnek havuzlar sağlayarak kullanıcıların varlık yatırmasına, ücret kazanmasına ve tüccarların varlıkları takas etmesine olanak tanıyor ve olaydan hemen önce piyasa değeri 65 milyon dolar olan BAL tokeni tarafından yönetiliyor.
Balancer olayla ilgili çok fazla ayrıntı paylaşmadı ancak kullanıcıları olası dolandırıcılık veya kimlik avı girişimlerine karşı dikkatli olmaları konusunda uyardı.
Balancer bugün, bir istismarın V2 Gübrelenebilir Stabil Havuzlarını 07:48 UTC’de etkilediğini ve sorunun V3 de dahil olmak üzere diğer Balancer havuzlarını etkilemediğini doğruladı.
Şirket birkaç saat önce yaptığı güncellemede “Ekibimiz sorunu anlamak için önde gelen güvenlik araştırmacılarıyla birlikte çalışıyor” dedi.
GoPlus Security’ye göre Balancer V2’deki istismar, Vault’un takas hesaplamalarındaki hassas yuvarlama hatasından kaynaklandı.
Her takas işlemi token tutarlarını yuvarlayarak saldırganın defalarca yararlanabileceği küçük tutarsızlıklar yarattı. BatchSwap işlevi aracılığıyla birden fazla swapın zincirlenmesiyle, bu yuvarlama kayıpları büyük bir fiyat bozulmasına yol açtı.
Kaynak: GoPlus Güvenliği
Ancak ne olduğunu bildiğini iddia eden diğer kullanıcılar, saldırıyı Balancer’ın V2 kasalarındaki uygunsuz yetkilendirme ve geri arama işlemlerine bağlıyor.
Aditya Bajaj’a göre, kötü niyetli olarak konuşlandırılan bir sözleşme, havuzun başlatılması sırasında kasa çağrılarını manipüle ederek korumaları etkili bir şekilde atladı ve birbirine bağlı havuzlar arasında yetkisiz takaslara ve denge manipülasyonlarına olanak sağladı.
Saldırı yöntemi konusunda henüz bir anlaşmaya varılmamış olsa da Balancer, hack hakkında daha fazla ayrıntı ve “mümkün olan en kısa sürede tam bir otopsi” paylaşma sözü verdi.
Balancer V2’nin 2021 yılından bu yana değişen inceleme kapsamlarıyla 11 kez denetlendiğini belirtmekte fayda var.
Bilgisayar korsanını kandırmaya çalışmak
Bu arada, birisinin Balancer’ın kimliğine bürünerek ve fonun geri kalanını belirli bir adrese iade etmeyi kabul etmesi halinde hacker’a çalınan miktarın %20’si kadar bir “beyaz şapka ödülü” teklif ederek durumdan yararlanmaya çalıştığı anlaşılıyor.
Kimlik avı mesajı iyi yazılmıştır ve ödül, son teslim tarihi ve tehdit de dahil olmak üzere hilelerin güvenilir görünmesini kontrol eder; bunların tümü acil işbirliği için baskı yapan bir müzakerenin parçasıdır.
Bilgisayar korsanı anlaşmayı reddederse, Balancer’ı taklit eden dolandırıcı, saldırganın kimliğini tespit etmek ve kovuşturmak için blockchain adli tıp uzmanlarından, emniyet teşkilatlarından ve düzenleyici ortaklardan edindiği tüm bilgileri kullanmakla tehdit eder.
Dolandırıcılık mesajı şöyle bitiyor: “Ortaklarımız, altyapımız tarafından toplanan, tanımlanmış bir dizi IP adresi/ASN’den gelen bağlantıları ve zincirdeki işlem etkinliğiyle ilişkili giriş zaman damgalarını gösteren erişim günlüğü meta verilerinden tanımlanacağınıza yüksek derecede güveniyor.”
Balancer hack’i, 2025’teki en büyük kripto para soygunlarından biri. Her ne kadar herhangi bir atıf olmasa da, DeFi kuruluşlarına yönelik en büyük tehdit Kuzey Koreli hackerlar.
3 Ekim itibarıyla, bu yıl Kuzey Kore hırsızlıklarıyla bağlantılı kripto para birimi miktarı 2 milyar doları aştı; şimdiye kadarki en büyüğü, 1,5 milyar dolarlık kripto para biriminin çalındığı Şubat ayındaki Bybit saldırısıydı.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.