3 Kasım gece yarısı, BlockSec'in izleme sistemi kırmızı ışık yaktı. Balancer V2 protokolü çoklu zincirlerde aynı anda saldırıya uğradı, kayıp miktarı 120 milyon doları aştı - ve hala yükselişte.

Bu saldırının doğruluğu insanın sırtını ürpertiyor. Hackerlar, Balancer V2'nin alt kodunda son derece gizli bir bug'a odaklanmış: hassasiyet ölçeklendirme ve yuvarlama yönü yanlış işleniyor. Teknik olarak kulağa mı geliyor? Basitçe söylemek gerekirse, akit varlık oranlarını hesaplarken küçük bir sapma yaratıyor, normalde hiç fark edilmez ama büyütülerek kullanıldığında ölümcül bir yara haline geliyor.

Saldırı süreci tam anlamıyla bir ders kitabı seviyesinde. İlk adım, flash loan ile devasa bir başlangıç sermayesi elde etmek. Bazıları bu yılın Haziran ayında yaşanan STA token havuzu olayını hatırlatıyor - o zaman saldırgan dYdX'ten 100,000 WETH ödünç almıştı, bu sefer doğrudan ölçeği maksimuma çıkardı. İkinci adım, Vault sözleşmesinin batchSwap fonksiyonunu çağırarak stabil havuzda çılgınca işlem yapmak.

Anahtar, "stabil havuz değişkeninin" kötü kullanılmasıdır. Normal şartlar altında, bu değer havuzun varlık oranını sabit tutmalıdır, ancak saldırganlar özenle tasarlanmış işlem dizileri aracılığıyla, sözleşmenin hesaplama sürecinde birikimli hata oluşturmasına neden oluyor. Her işlemde biraz yün toplanıyor, yüzlerce veya binlerce işlem paketlenip yürütüldüğünde, hata astronomik sayılara dönüşüyor.

En ironik olan zamanlamadır. Piyasa, "DeFi düzenli ordusu" anlatısının spekülatif dalgasını yeni atlatmışken, her türlü uyum çerçevesi ve denetim raporu ortalığı kaplamıştı. Sonuç olarak, bir temel kod sorunu tüm paketlemeyi altüst etti. Binlerce cüzdanın varlıkları anında sıfıra düştü, zincirleme panik doğrudan piyasa duygusunu yerle bir etti.

Teknik detaylar güvenlik ekibi tarafından sürekli olarak açıklanıyor, ancak ders yeterince net: Ne kadar şık bir ürün tasarımı olursa olsun, kod seviyesindeki bir dikkatsizlik buna dayanamaz.