گزارش اولیه بالانسر از هک ۱۱۶ میلیون دلاری؛ چطور یکی از پیچیده‌ترین هک‌های سال ۲۰۲۵ انجام شد؟

پروتکل دیفای Balancer هدف یکی از پیچیده‌ترین هک‌های سال ۲۰۲۵ قرار گرفت و بیش از ۱۱۶ میلیون دلار از استخرهایش سرقت شد.

خلاصه خبر

• هکر با استفاده از نقص کدنویسی و ابزارهایی مثل BatchSwap و Flashloan توانست وجوه را تخلیه کند.
• تیم بالانسر بخشی از دارایی‌ها را بازیابی کرده و برای بازگرداندن مابقی، پاداش ۲۰ درصدی تعیین کرده است.

به گزارش کوین تلگراف، به گفته‌ ددی لاوید (Deddy Lavid)، مدیرعامل شرکت امنیت بلاک‌چین Cyvers، این حمله یکی از «پیشرفته‌ترین» حملات سایبری سال ۲۰۲۵ تا به امروز بوده است.

معامله سریع و آسان در نوبیتکس خرید تتر

قیمت لحظه‌ای تتر

USDT

---

تیم توسعه‌دهنده‌ پروتکل مالی غیرمتمرکز (DeFi) بالانسر، روز چهارشنبه گزارش اولیه‌ای از بررسی حادثه (Post-Mortem) منتشر کرد که در آن جزئیات مربوط به علت حمله‌ای که منجر به سرقت ۱۱۶ میلیون دلار از بازار دیفای شد، توضیح داده شده است.

بالانسر روز دوشنبه هدف یک حمله‌ کدنویسی بسیار پیچیده قرار گرفت که استخرهای Balancer v2 Stable و Composable Stable v5 را تحت تأثیر قرار داد. در حالی که سایر انواع استخرها آسیب ندیدند.

هکر از ترکیبی از قابلیت BatchSwaps که امکان انجام چند عملیات را در قالب یک تراکنش واحد فراهم می‌کند به همراه فلش لونز (Flashloans) و یک نقص در تابع Upscale Rounding Function که در سواپ‌های EXACT_OUT در استخرهای پایدار استفاده می‌شود، بهره برد.

تابع مذکور طوری طراحی شده که در هنگام ورود قیمت توکن‌ها، مقدار را به سمت پایین گرد کند. اما هکر توانست مقادیر این گرد کردن را دست‌کاری کند و با استفاده هم‌زمان از قابلیت BatchSwap، وجوه موجود در استخرهای پایدار را تخلیه کند. تیم بالانسر در گزارش خود نوشت:

در بسیاری از موارد، وجوه سرقت‌شده برای مدتی به صورت موجودی داخلی در خزانه (Vault) باقی مانده بودند و سپس در تراکنش‌های بعدی برداشت شدند.

این حادثه بار دیگر یادآور آن است که کیف‌ پول‌های گرم (Hot Wallets)، استخرهای نقدینگی و به‌طور کلی وجوه روی زنجیره (On-chain) که به اینترنت متصل‌اند، در برابر تهدیدات رو‌به‌رشد سایبری آسیب‌پذیر هستند. موضوعی که کاربران و توسعه‌دهندگان بلاک‌چین را به رعایت احتیاط بیشتر در حفاظت از سرمایه‌هایشان فرا می‌خواند.

واکنش بالانسر و صنعت رمزارز

هکرها احتمالاً افرادی حرفه‌ای و آموزش‌دیده بودند که ماه‌ها پیش از اجرای حمله برنامه‌ریزی کرده بودند و برای پنهان کردن ردپای خود از چندین تراکنش کوچک ۰.۱ اتریومی در پلتفرم Tornado Cash برای تأمین مالی عملیات استفاده کردند.

تیم بالانسر در همکاری با شرکت‌های امنیت سایبری و چند پروتکل رمزارزی موفق شد بخشی از وجوه سرقت‌شده را بازیابی یا مسدود کند. از جمله ۵,۰۴۱ توکن StakeWise Staked ETH (یا osETH) به ارزش تقریبی ۱۹ میلیون دلار و ۱۳,۴۹۵ توکن osGNO به ارزش حدود ۲ میلیون دلار.

در حال حاضر، تیم بالانسر همه‌ی استخرهای آسیب‌دیده را متوقف کرده و ایجاد استخرهای جدید با ساختار مشابه را تا زمان رفع کامل مشکل امنیتی غیرفعال کرده است.

این تیم همچنین پاداش ۲۰ درصدی (White Hat Bounty) برای بازگرداندن وجوه سرقت‌شده تعیین کرده است. پاداشی که هم شامل هکرهای اخلاقی می‌شود و هم در صورت بازگرداندن سرمایه‌ها، خود مهاجم می‌تواند آن را دریافت کند. با این حال، تا زمان نگارش این گزارش، هیچ‌کس هنوز این پاداش را مطالبه نکرده است.