في وقت سابق من هذا الأسبوع، تم استغلال ثغرة أمنية خطيرة في بروتوكول التمويل اللامركزي (DeFi) Balancer، مع خسائر في العملات المشفرة تقدر قيمتها بـ 120 مليون دولار أو أكثر. على الرغم من أنه لم يكن من الواضح في البداية كيفية عمل هذا الاستغلال، إلا أن أ تقرير أولي أشار الفريق الذي يقف وراء Balancer إلى أن الأمر يتعلق في الغالب بكيفية تعامل البروتوكول مع تقريب أرصدة العملات المشفرة المميزة.
لقد صدم استغلال Balancer الكثيرين في نظام DeFi البيئي، حيث أن هذا المشروع خضع للعديد من عمليات التدقيق الأمني من شركات محترمة، والنسخة المحددة من البروتوكول الذي تم استغلاله كانت موجودة في البرية منذ عام 2021.
في مقابلة مع صندوق Squawk على قناة CNBC في صباح يوم الاربعاء، قام المدير السابق لوكالة الأمن السيبراني وأمن البنية التحتية كريس كريبس بمقارنة استغلال Balancer بالمخطط من مساحة مكتبية, حيث كانت الفكرة هي إزالة أجزاء من البنت من الجزء العلوي من العديد من المعاملات الفردية. وأشار كريبس أيضًا إلى إمكانية استخدام الذكاء الاصطناعي في صياغة كود الاستغلال باعتباره جانبًا آخر مثيرًا للاهتمام في الموقف.
وبدون التعمق في التفاصيل التقنية، إليك ما حدث بشكل أساسي مع الاستغلال، وفقًا لتحليل Balancer الخاص.
في قلب هذه الفوضى كان هناك خطأ تقريبي في كود Balancer يتعلق بكيفية تعامله مع عمليات التداول، وتحديدًا عمليات المقايضة المجمعة حيث يمكن تجميع عمليات تداول متعددة بين أصول تشفير مختلفة في معاملة واحدة. يهدف هذا إلى مساعدة المستخدمين على توفير الوقود، وهو ما يمثل فعليًا التكلفة المقومة بالعملات المشفرة للتفاعل مع منصة العقود الذكية القائمة على blockchain مثل Balancer.
⚖️ اختراق الموازن TL;DR:
🧮 تستخدم معظم الرموز المميزة على الإيثريوم 18 رقمًا عشريًا، لكن بعضها لا يستخدمها.
✖️ يقوم الموازن بترقية كميات الرموز المميزة (إلى 18 ديسمبر) وتقليصها مرة أخرى.
🔧 يتم دائمًا تقريب الارتقاء بالمستوى إلى الأسفل، ولكن يمكن تقريب الارتقاء بالحجم إلى الأعلى أو الأسفل.
😬 كلما زادت خطوات القياس، كلما…
– أوستن جريفيث (@ austingriffith) 5 نوفمبر 2025
أثناء إصدار معين من هذا النوع من المقايضة، المعروف باسم EXACT_OUT، يتعين على كود Balancer تضخيم الأرقام لأعلى أو لأسفل لجعل الحسابات دقيقة (فكر في الأمر مثل تحويل البنسات إلى دولارات). لكن النظام يتم تقريبه في بعض الأحيان بطريقة تؤدي إلى اختلالات طفيفة في التوازن.
ومن خلال عمليات التداول المتكررة، يمكن للقراصنة استغلال هذه الفجوات الصغيرة للعبث بأرصدة المجمع، ومن هنا جاءت مقارنة كريبس بالخطة في مساحة المكتب. كان هناك بعض التلاعب الإضافي علاوة على ذلك، ولكن خطأ التقريب هذا كان هو الخلل الرئيسي الذي فتح الفرصة أمام المتسلل.
في حين أن استغلال Balancer قد أرسل موجات صادمة في جميع أنحاء النظام البيئي DeFi، فقد تمكنت بعض سلاسل الكتل من الحد من مكافأة المتسلل ببساطة عن طريق تجميد الأصول، وهو ما يتعارض بوضوح مع “الكود هو القانونركزت الفلسفة التي كانت في الأصل في قلب منصات العملات المشفرة على العقود الذكية الأكثر تعبيرًا، مثل إيثريوم.
كان بعض مؤيدي التمويل اللامركزي قلقين من أن اختراق بروتوكول موثوق به على نطاق واسع مثل Balancer من شأنه أن يضعف مستوى الثقة في قطاع التمويل اللامركزي بشكل عام؛ ومع ذلك، فمن الواضح أن الكثير من هذا النشاط لا يزال يخضع لسيطرة مركزية إلى حد ما وقادر على العمل بطرق مختلفة على غرار منصات التكنولوجيا المالية التقليدية.
يحب الجميع المطالبة بـ “الأمن الاقتصادي المشفر” حتى تظهر مجموعة Lazarus.
– ماثيو جرين موجود على BlueSky (@matthew_d_green) 6 نوفمبر 2025
وفق غير مقيد، قامت سلاسل الكتل Polygon وSonic بتجميد أو “مراقبة” بعض أصول متسلل Balancer بشكل فعال بعد الاستغلال لمنع الأموال من التحرك إلى أي مكان آخر في المستقبل. ذهب Berachain إلى حد نشر شوكة صلبة للطوارئ من شأنها أن تفعل ذلك السماح للمتضررين من الاختراق باستعادة أموالهم.
هذا يذكرنا الإجراءات التي اتخذها مطورو Ethereum بعد الاختراق سيئ السمعة لـ DAO منذ ما يقرب من عشر سنوات في الأيام الأولى لشبكة العملات المشفرة. ومن الواضح أن العملات المشفرة لا تزال تعاني من المفاضلات بين منح الجميع السيطرة الكاملة على أموالهم الرقمية وبالتالي عدم وجود أحد يلجأون إليه عندما يحدث خطأ ما.
البعض لديه ذُكر أنه من المنطقي تنفيذ هذه الأنواع من وسائل الحماية الشبيهة بعجلات التدريب على شبكات العملات المشفرة الأقل تطورًا، لكن آخرين يرون أن هذا مثال آخر على مدى كون اللامركزية المفترضة في الفضاء مسرحية أكثر من الواقع التقني، كما تم الكشف عنه أيضًا خلال فترة توقف Amazon Web Services الأخيرة.