Balancer İhlallerinin Kalbindeki İhanet

2020'lerin başları gelirken, DeFi birçok kripto meraklısı ile bir iz bırakmıştı—yenilik hızla gelişti ve Balancer, sektörün neler sunabileceğinin mükemmel bir örneğiydi. Mart 2020'de ortaya çıktı, o zamanlar Uniswap otomatik piyasa yapıcı (AMM) merkeziyetsiz borsa (DEX) sahnesinde en üst sıradaydı. Ama bu, Balancer'ı durdurmadı; seleflerinin yapmadığı şeyi yapmaya karar verdi.

Protokol likiditeyi yeniden hayal etti, sadece diğer AMM'lerin yaptığı şeyleri kopyalamadı. Balancer esasen bir endeks fonu ile bir borsa arasındaki kesişimdi. İki veya daha fazla varlıkla havuzlar, tüm tokenlar için özelleştirilebilir ağırlıklar ve son derece dinamik parametreler gibi görülmemiş özellikler sundu. Kısacası, Balancer esnek, güçlü ve diğer DeFi uygulamalarıyla birleştirilebilir.

Bu protokol, piyasaya sürüldüğünde her inşaatçının ve getiri çiftçisinin hayaliydi. Balancer, akıllı havuzlar, artırılmış entegrasyonlar ve topluluk odaklı bir yol haritası gibi güçlü teklifleriyle blockchain alanında açık finansın nasıl görüneceğini sergiliyordu. Ekosistem bağlıydı; proje, 2021'de 3,5 milyar dolarlık toplam değer kilidi (TVL) ile övündü ve Yearn, Aave gibi en iyi DeFi protokolleriyle ortaklık kurdu.

Yine de, bu tür bir uygulama kötü bir yan taşımıyorsa burada olamazdık. Karmaşıklık kırılganlık doğurur ve Balancer'ın sofistike matematiği ve sözleşmeleri altında büyük sorunlar gizleniyordu. Saldırganlar platformda kaos yarattı ve 2021 ile 2023 arasında sahip olduğu değer büyük ölçüde azaldı. Sorun, bu olayların önlenebilir olmasıydı. Öngörü, yönetim ve güvenlik kültürü konusundaki başarısızlıklar, günün sonunda ihanetten başka bir şey olmayan tekrar eden istismarlarla sonuçlandı.

###Yükseliş: Ne Vaad Edildi?

Balancer piyasaya sürüldüğünde, DeFi'de ciddi bir engeli aştı, bu da sertlikti. Uniswap gibi mevcut, köklü rakipler, %50:50 eşit oranlarla iki varlıkla sınırlı havuzlarda likidite sunuyordu. DeFi hızla gelişirken, bu yapı deneyimli kullanıcıların ihtiyaçlarını karşılamıyordu.

###Balancer'ı Öne Çıkaran Temel Özellikler

• Akıllı havuzlar: Protokolün havuzları benzersizdi, özelleştirilebilir ücretler, token ağırlıkları ve dinamik yeniden dengeleme sunuyordu. Bu unsurlar ya algoritmik olarak ya da yönetişim önlemleri aracılığıyla tetiklendi.
• Likidite madenciliği: Kullanıcılara, özel destekli havuzlar aracılığıyla BAL token'ı ve üçüncü taraf getirileri ile havuzlarda likidite stake ettikleri için toplanan ücretlerin ötesinde ödüller verildi. Bu teşvikler benimsemeyi hızlandırdı ve rekabetten birçok kullanıcıyı çekti.
• Bileşenli uygulama: Balancer'ın mimarisi, Aave ve Yearn gibi popüler kredi uygulamalarını entegre ederek, kullanıcıların söz konusu platformlarda mevcut olmayan getiri sağlayan token'ları kullanıma açmalarını sağladı.
• Yönetim: Protokolün lansmanından bir yıl sonra, BAL sahipleri hazine ve yol haritası ile ilgili kararlar alabilir, böylece tamamen DAO yönetimi sağlanır.

Balancer, DeFi kullanıcılarına eşi benzeri görülmemiş bir ütopya vaat etti. Görülmemiş esneklik, muazzam ödüller, topluluk liderliğindeki yönetişim ve sayısız entegrasyon, onu o dönemdeki herhangi bir AMM DEX'e karşı güçlü bir rakip haline getirdi. Ancak bu hareketli parçaların hepsi gereksiz bir karmaşıklık getirdi. Her biri yeni riskler doğurarak, saldırganların avantaj sağlaması için açık bir sezon haline getirdi.

###Kırılma Noktası—Ne Yanlış Gitti

Sürekli yapılan istismarlar güveni zayıflattı. Balancer ayak uyduramadı.

####Salt Okuma-Only Reentrancy Saldırısı

Haziran 2020'de, Balancer'ın özel bir getiri sağlayan sarmalayıcı ile entegre edilmiş kasaları, özellikle ERC-4626 token'ı, büyük güvenlik açıkları barındırıyordu. Temelde, saldırganlar Aave ile ilgili aToken ve Yearn ile ilgili yToken ile işlem ortasında bakiyeleri manipüle edebiliyordu; Balancer bu tür senaryolarda durum değişmezliği varsayıyordu, ancak durum böyle değildi.

Sonuç olarak yaklaşık 500.000 $ boşaltıldı. Protokol, yenilikçi artırılmış havuzlardan kaynaklanan yeni saldırı vektörlerini ele almak için tehdit modellemesini güncel tutamadı; bu durum, ilk etapta büyük benimsenmesinin sebebiydi.

####Artırılmış Havuz Güvenlik Açığı

Her ne kadar bir saldırı olmasa da, en azından kısa bir süreliğine, Balancer, Ağustos 2023'te endişe verici bir risk tespit ettiğini açıkladı ve destekli havuzlarını dondurdu, likidite sağlayıcıları (LP'leri) fonlarını çekmeye çağırdı. Acil önlemler aceleyle alındı, ancak siber suçluların yağmalaması için $200 milyon üzerinde bir miktar tehlikedeydi.

Kullanıcılar, bu ölçekten bir hatanın nasıl var olabileceğini haklı olarak sorguladılar, özellikle de sağlam denetimlerin bunu işaret etmiş olması gerekiyordu. Görünüşe göre, daha derin denetimler için yapılan öneriler, maliyet endişeleri nedeniyle Balancer'ın DAO'su tarafından aylar önce reddedildi.

####Aktif Sömürü

####Güveni Zayıflatan Diğer Olaylar

Sorunlar geniş bir alana yayıldı—Balancer'ın geçmişinde de başka örnekler ortaya çıktı. Örneğin, Balancer havuzları için doğru parametreleri ayarlamakta başarısız oldu, bu da fiyat manipülasyonlarına zemin hazırladı. Bunun ötesinde, saldırganlar, arbitraj mekanizmalarını kullanarak ve havuzlardan likidite çekerek flaş kredi istismarları başlattı. Şüpheli olaylar burada da sona ermedi—asi DAO üyeleri, kurdukları özel halka açık havuzlar aracılığıyla rug pull'lar gerçekleştirmelerine izin verildi. Denetim eksikliği, dikkatsiz LP'lerden dolandırıcılık yapmalarına olanak tanıdı.

###Fallout—Protokole, Kullanıcılara ve Güvene Zarar

Kullanıcılar toplamda yaklaşık $3 milyon kaybetti ve Balancer'ın kötü uygulamaları nedeniyle $10 milyonun üzerinde risk altındaydı, proje büyük bir itibari kayba uğradı. Hackler DeFi protokolleri arasında yaygındır, ancak sorumluluk hissettirmeyen sürekli başarısızlıklar, topluluğun durumu kabul etmesini zorlaştırdı.

2023'ün sonları, Balancer'ın TVL düşüşünü işaret etti ve protokolün birkaç yıl önce övündüğü 3.5 milyar dolardan $600 milyonun altına düştü. Bunun büyük bir kısmı piyasa güçlerine ve BAL token'ın çöküşüne atfedilebilirken, Maverick ve Ambient gibi yeni girişimler kullanıcılarını kendilerine çekti. Curve ve Uniswap gibi yerleşik platformlar, sağlam işleyişleri sayesinde Balancer'ın kullanıcılarını kendilerine çekerken, yeni projelerin piyasaya girmesine rağmen kendi kullanıcılarını korudular.

Kaosun ortasında, ana katkı sağlayıcılar harekete geçmek zorunda kaldığında, öneriler düşük katılım oranları ve yavaş tartışmalarla karşılaştı; denetimler, acil durum havuzunun dondurulması ve Balancer DAO'sundaki yapısal reformlar aksadı. DAO, daha büyük topluluğu tarafından hareketsizlik, deneysel çalışmaların arkasına saklanma ve ahlaki risk nedeniyle eleştirildi; kullanıcıları ise en ağır bedeli ödedi.

Doğal olarak, platformla işbirliği yapan birçok bağımsız güvenlik denetçisi ilişkilerini kesti ve DAO yapısının acil kararlar alamadığını ve kullanıcı korumasını önceliklendirmediğini iddia etti.

###Analiz—Balancer Neden Başarısız Oldu?

Balancer’ın yükselişi, ele alınabilir tehditler tarafından baskılandı. Gelin daha yakından bakalım.

####Korumasız Karmaşıklık

Protokolün açık tasarımı, herkesin havuzları dağıtabilmesini sağladı. Bu, otomatik korumaların olmadığı ve kalitesiz denetim süreçlerinin bulunduğu göz önüne alındığında bir kâbus haline geldi. Daha iyi kontroller, sorunların ortaya çıkmasını önleyebilirdi.

####Bileşebilirliğe Aşırı Güven

Balancer'ın sürekli entegrasyonları onun düşüşüne neden oldu. Proje, daha iyi getiriler sunarak büyük bir benimseme gördü, ancak güvenliği kontrolsüz bıraktı. Aave ve Yearn, sağlamlığı korumak için davranışlarını değiştirdi, ancak üzerinde yoğunlaştığımız protokol bu hızda ilerleyemedi ve havuzları dengesiz hale geldi.

####Hafife Alınan Tehdit Modelleme

Protokol, sıfırıncı gün istismarları yaşamadı. Hepsi tasarımında öngörülebilir zayıflıklardı. Güvenlik önlemleri temel sözleşmeleri ele aldı ama kenar durumlarını göz ardı etti, bu da saldırganların LP'leri hedef almasına olanak tanıdı.

####Yetersiz Yönetim

Topluluk liderliğindeki karar alma, DeFi'nin temel ilkelerinden biridir. Ancak, DAOs'un acil eylemi gerektirecek şekilde yapılandırılması gerekir. Bunların hiçbiri gerçekleştirilmedi ve güvenlik açıklarını kapatmak için gereken önlemler alınana kadar günler geçti.

####Ahlaki Tehlike ve Teşvikler

Sonuçta, Balancer yalnızca altyapı olarak çalıştı, aynı zamanda topluluk odaklı olduğunu iddia etti. Yüksek getiriler sundu, ancak kullanıcıların tüm riskleri üstlenmesine neden oldu. Finansal kayıplar LP'lerin üzerine kaldı ve protokol kendisi etkilenmedi.

###Kripto Ekosistemi için Dersler

Balancer hikayesinden çıkan iyi bir şey varsa, o da kripto dünyasının benimseyebileceği derslerdi.

####Bileşebilirlik ≠ Güvenlik

Protokoller, getiri sunmak ve sergilemek için birçok katmanı birleştirebilir. Teoride, bu güvenlik önlemleri riskleri dengeleyebiliyorsa harika. Ancak, artan uyumluluk, büyüyen bir karmaşıklık doğurur ve büyük bir soru sormak gerekir: Projeler gerçekten bu kadar çok entegrasyonu kullanmalı mı?

####Güvenlik Sürekli Olmalıdır

Kapsamlı denetimler gerçekleştirildiğinde bile, bunlar yalnızca belirli zaman dilimlerinde güvenliğin anlık görüntüleridir. Gerçek sağlamlık, sürekli incelemeler, hızlı yamanmalar, 7/24 izleme ve uygun risk modellemesi ile ortaya çıkar.

####İzin Gerektirmeyen Dağıtımlar Daha İyi Araçlara İhtiyaç Duyuyor

Eğer protokoller kullanıcıların kullanım senaryoları oluşturmasına izin veriyorsa, otomatik denetimler, güvenlik uyarıları ve devre kesicilerin uygulanması gereklidir. Gerekli korumalar olmadan, gerçekleşmesi beklenen bir kaos vardır.

####Yönetim Esnek Olmalıdır

DAOl'lar milyonlarca dolarlık hazineleri yönettiğinde, güvenlik önlemlerini hızlandırmak acil bir ihtiyaçtır. Bu, acil durum konseyleri ve yetkilendirilmiş otoriteler aracılığıyla sağlanabilir. Bu tür önlemlerin olmaması, karar alma süreçlerinde gecikmelere yol açar; o zamana kadar saldırganlar zaten havuza el atmış olur.

####Şeffaflık İletişimi Kapsamalıdır

Projeler, geliştiriciler ve kullanıcılar için anlaşılır uyarılar, risk panoları ve ölüm sonrası analizler oluşturmalıdır. Teknik depo ile sınırlı kalmak, riskli finansal ortamlarda yeterli değildir.

####Yenilik Borcu Gerçek

Yeni bir özellik dağıtıldıkça, yenilik borcu, güvenlik, izleme ve yönetişim süreçlerinden kaynaklanan yükler şeklinde eklenir. Eğer yenilik kapasiteyi aşarsa, güvenlik zarar görür ve borç yeni bir yola girer - istismarlar.

###Balancer: Kendi İyiliği İçin Çok Akıllı Bir Protokol Mü?

Balancer ile ilgili olanlar, tüm hasarı veren çoklu istismarlar gibi görünebilir. Ama bu, daha fazlası. Doğru özeni gözlemlemeden fazla karmaşık hale gelen ve çok şey hedefleyen bir uygulama ile ilgili. Protokol, kendi başarısının bir kurbanı haline geldi; kutlanan bir bileşenlik, onu yıpratan risklere yol açtı.

Oyun içindeki ihanet, kötü niyetli aktörlerin zayıflıkları istismar etmek için sırayla hareket etmesinden daha fazlasıydı; kripto para birimlerinde bileşen oluşturma risklerinin boyutunu vurguladı. Daha sistematikti—akıllı havuz zayıflıklarıyla başa çıkamayan yönetişim süreçleri ve sağlanan açıklığı ele almayan güvenlik önlemleri.

Balancer protokolü tartışması taşlara kazınmış durumda. AMM DEX'in tekrar ihtişama kavuşup kavuşamayacağı bir soru olarak kalıyor.