Kasım ayında Composable Stable Pools üzerinde gerçekleşen bir saldırının ardından, Balancer v3 ekibi bu olayı savunmaları yenilemek ve protokol seviyesinde güvenliği güçlendirmek için kullandı.
Summary
3 Kasım saldırısından proaktif bir güvenlik modeline
3 Kasım tarihinde, V2 üzerindeki Composable Stable Pools bir saldırıya maruz kaldı ve Balancer kararlı bir şekilde harekete geçti. V3 tamamen etkilenmeden kaldı, ancak ekip, güvenlik modelini güçlendirmek ve protokolü gelecekteki saldırı türlerine karşı korumak için bir fırsat gördü.
CSP saldırısı, dört yıldan fazla bir süredir fark edilmeden var olan bir saldırı vektörünü ortaya çıkardı. Ayrıca, benzer zayıflıklar daha sonra diğer protokoller üzerinde de istismar edildi ve bu durum, endüstri genelinde büyük ölçüde gözden kaçan bir modelin var olduğunu gösterdi ve savunma varsayımlarının geniş çapta yeniden düşünülmesine neden oldu.
Geleneksel güvenlik genellikle reaktiftir: bir hata bulunur, düzeltilir ve sonra devam edilir. Ancak bu yaklaşım, dört yıl daha gizli kalabilecek ve düşmanlar tarafından keşfedilene kadar fark edilmeyen saldırı vektörleri de dahil olmak üzere bilinmeyen güvenlik açıklarını dokunulmadan bırakır.
V3’ü tüm saldırı sınıflarını ortadan kaldıracak şekilde tasarlamak
Ekip, en iyi yanıtın, protokolü meşru ve ekonomik olarak anlamlı kullanım durumlarıyla sınırlayarak potansiyel saldırıların tüm kategorilerini ortadan kaldırmak olduğuna karar verdi. Belirli bir işlemin var olması için sağlam bir nedeni yoksa, zincir üzerinde mümkün olmamalıdır.
V3 mimarisi zaten bu felsefeyi yansıtmaktadır. Vault merkezli mimarisi, token bakiyelerini, ücret muhasebesini ve BPT yönetimini tek bir, yoğun şekilde denetlenmiş sistemde merkezileştirir. Bununla birlikte, bu seçimler, düşmanca aktörler tarafından kötüye kullanılabilecek birçok potansiyel saldırı yüzeyini de ortadan kaldırır.
Bu tasarım sayesinde, 3 Kasım saldırısını mümkün kılan belirli yuvarlama güvenlik açığı V3’te mevcut değildir. Sonuç basittir: V2 altyapısına yönelik saldırının ciddiyetine rağmen, hiçbir V3 havuzu olaydan etkilenmemiştir.
Balancer V3’ü derin bir güvenlik yeniden değerlendirmesiyle güçlendirmek
Bu temiz geçmişe rağmen, ekip daha da ileri gitti. Certora ile işbirliği içinde, Balancer, kötü niyetli aktörler tarafından silah haline getirilmeden önce olası herhangi bir saldırı vektörünü tespit etmek ve ortadan kaldırmak amacıyla birçok V3 akıllı sözleşmesinin kapsamlı bir yeniden değerlendirmesini yaptırdı.
Certora tarafından gerçekleştirilen v3 güvenlik denetimi, incelenen V3 sözleşmeleri arasında herhangi bir güvenlik açığı bildirmedi. Ayrıca, sonuçlar, karmaşıklığı bireysel havuzlardan vault’a kaydıran basitleştirilmiş mimarinin, tasarım gereği daha güvenli bir protokol ürettiğini vurguladı.
Teknik ayrıntılar ve resmi yöntemlerle ilgilenen okuyucular için, tam bulgular Certora’nın güvenlik yeniden değerlendirmesi üzerine hazırladığı tam raporda mevcuttur. Ancak, başlıca sonuç açıktır: mimari seçimler titiz dış inceleme ile doğrulanmıştır.
Ağırlıklı havuzlar için yeni güvenlik önlemleri
Başarılı denetimin ötesinde, Balancer hem Ağırlıklı hem de Stable havuzlar genelinde ek güvenlik önlemleri uyguladı. Bu korumalar, protokol davranışını geçerli ekonomik senaryolarla daha da kısıtlar ve havuz seviyesinde bilinen saldırı modellerini etkisiz hale getirmeye yardımcı olur.
V3 Ağırlıklı havuzlarda, kötü niyetli veya patolojik kullanım durumlarını ortadan kaldırmak için iki özel ağırlıklı havuz güvenlik önlemi tanıtıldı. Birlikte, işlemleri gerçekçi ve anlamlı ticaret koşullarıyla sınırlama konusundaki temel tasarım hedefini güçlendirirler.
Minimum token bakiye limitleri
İlk önlem, token ondalık konfigürasyonlarının tam spektrumu boyunca tutarlı bir şekilde uygulanan bir minimum token bakiyeleri sistemidir. Aşırı düşük bakiyelere ulaşmak genellikle çok büyük takaslar gerektirdiğinden, bu mekanizma dolaylı olarak maksimum etkili ticaret boyutunu sınırlar.
Sonuç olarak, havuz aktivitesi ekonomik olarak anlamlı bir aralıkla sınırlıdır. Ayrıca, bakiyeleri gerçekçi olmayan uçlara itebilecek işlemler artık izin verilmez, matematiği manipüle etmek veya uç durum hatalarını tetiklemek için kullanılabilecek senaryoları kapatır.
Vault’ta geliştirilmiş bakiye yuvarlama
İkinci güvenlik önlemi, vault ve havuz matematiği içinde geliştirilmiş bakiye yuvarlamadır. Önceki modelde, vault içindeki belirli likidite işlemleri, belirli bir yuvarlama davranışı gerektiğinde havuzlara gerekli yuvarlama yönünü iletirdi.
V3’te, havuzlar kendileri her zaman doğru bir şekilde yuvarlama yapar. Özellikle, ExactOut takasları için amountIn yuvarlama mantığı V2 ile karşılaştırıldığında düzeltilmiştir. Ayrıca, Balancer artık iç hesaplamalar sırasında tokenIn bakiyesini yukarı yuvarlar, zaten doğru olan yuvarlamayı daha muhafazakar, daha güvenli sonuçlara doğru iter.
Stable havuz limitleri ve Maksimum Dengesizlik Oranı
V3 Stable havuzları, bu pazarların pratikte nasıl davranması gerektiğini yansıtacak şekilde tasarlanmış ek bir koruyucu kısıtlama da kazandı. Bu güvenlik önlemi, tarihsel olarak saldırı girişimlerini karakterize eden aşırı dengesizlikleri önlemeye odaklanır.
Yeni maksimum dengesizlik oranı, bir Stable havuzdaki en büyük ve en küçük token bakiyeleri arasında 10,000:1 oranında sert bir sınır uygular. Bu havuzlar 1:1 dengeye yakın kalacak şekilde tasarlanmış olsa da, bu cömert tavan, bilinen saldırılarda görülen aşırı eğik durumları yine de engeller.
Temel fikir, Stable havuzları ekonomik olarak anlamlı kalan bir operasyonel alana hapsetmektir. Bu uçlara yaklaşan oranlarla bir havuz çalıştırmak için geçerli bir neden yoktur, bu nedenle protokol artık bu tür yapılandırmaları tamamen yasaklar ve mantıklı stable havuz limitlerini güçlendirir.
Flash takasları ve imkansız senaryoları yeniden değerlendirmek
Bu tasarım kararlarını şekillendiren önemli bir farkındalık: flash takaslar, flash kredilerden temelde farklıdır. Her iki mekanizma da varlıklara geçici erişim sunarken, flash krediler bir token’ın zincir üzerindeki mevcut likiditesiyle sınırlıdır.
Buna karşılık, flash takaslar esas olarak depolama ile sınırlıdır ve teorik olarak herhangi bir varlığın gerçek dolaşımdaki veya toplam arzının çok ötesinde 1e128 tokena ulaşabilir. Ayrıca, bu tutarsızlık, protokoller bu tür sayıların ne kadar gerçekçi olmadığını fark edemediğinde kötüye kullanıma açık bir alan yaratır.
Gerçekte var olacak olandan daha fazla token ödünç almak için geçerli bir gerekçe yoktur. Böyle bir hareket ya bir kullanıcı hatası ya da doğrudan bir saldırıdır, geçerli bir kullanım durumu değildir. Balancer v3 artık bu imkansız senaryoları havuz seviyesinde geliştirilmiş güvenlik önlemleriyle önler.
AMM güvenliği için daha yüksek bir standart belirlemek
3 Kasım saldırısı, daha geniş DeFi ekosistemine zor ama değerli dersler verdi. Balancer’ın yanıtı, olaylardan öğrenmeye olan bağlılığını gösteriyor, en son protokol sürümünü doğrudan etkilemese bile.
Reaktif bir duruş yerine önleyici bir duruş seçerek, proje AMM güvenliği için yeni bir standart belirlemeyi amaçlıyor, tehditlerin tamamen ortaya çıkmadan önce engellendiği bir sağlamlık mimariye yerleştiriliyor.
Balancer için güvenlik, yalnızca akıllı sözleşme tasarımının ötesine geçer. Hypernative ile işbirliği içinde, yeni havuzlar, zincir üzerindeki tehditler ortaya çıktığında hızlı yanıt vermeyi sağlayan 7/24 izleme ile desteklenen genişletilmiş duraklatma yeteneklerini entegre eder ve katı değişmezliğin ötesine geçerek aktif koruma modeline doğru ilerler.
Dağıtım, dokümantasyon ve gelecekteki yol
Genişletilmiş güvenlik önlemleriyle Stable Surge havuzları da dahil olmak üzere yeni Ağırlıklı ve Stable havuz fabrikaları, artık tüm V3 destekli ağlarda yayında. Ayrıca, geliştiriciler resmi balancer v3 belgeleri ve ilgili depolarda teknik özellikleri ve örnekleri inceleyebilirler.
Balancer’ın misyonu, likidite uygulamaları için güvenli, üretime hazır altyapı sunarak DeFi yeniliğini hızlandırmak olarak kalır. Projeler, sertleştirilmiş, denetlenmiş altyapı üzerinde yeni havuz türleri tasarlamak ve gelişmiş finansal dApp’ler oluşturmak için protokolü bir temel olarak seçerler.
Özetle, mimari seçimlerin, dış denetimlerin, yeni güvenlik önlemlerinin ve gerçek zamanlı izlemenin kombinasyonu, güvenlik odaklı bir zihniyeti yansıtır. V3’ün evrimi, tek bir saldırının ekosistemi daha güçlü, daha dirençli otomatik piyasa yapıcılarına doğru nasıl yönlendirebileceğini gösteriyor.
