Derrière l'attaque Balancer : en plus des licenciements dans l'équipe de sécurité, nous devons également prêter attention aux soucis cachés du front-end centralisé
 Écrit par:Luccy、Kaori、BlockBeats
Editeur : Jack, BlockBeats
Le 20 septembre, Balancer a subi une perte de 238 000 $ US lors d'une nouvelle série d'attaques. L'analyse de SlowMist Intelligence estime qu'il s'agit d'une attaque de détournement BGP. La visite du site Web pour lier le portefeuille provoquera des attaques de phishing. Par la suite, SlowMist MistTrack a déclaré que les frais de l'attaquant Balancer provenaient du groupe de phishing Angel Drainer. Actuellement, Balancer indique que le frontend a été restauré en sécurité et est de nouveau sous le contrôle de Balancer DAO.
Le BGPHijacking, également connu sous le nom de détournement de route BGP, est une méthode d'attaque frontale. Lors d'une attaque de détournement BGP, l'attaquant envoie de fausses informations de mise à jour de routage BGP pour amener d'autres routeurs à diriger le trafic dans la mauvaise direction, écoutant ainsi, falsifiant ou interrompant le trafic. En termes simples, le site Web était capable d'envoyer des courriers indésirables approuvant les transactions, permettant ainsi au contrat malveillant de détourner tous les fonds de l'utilisateur.
C'est également la plus grande différence par rapport aux attaques précédentes : l'attaque visait le front-end du Balancer.
OpCo, Orb Collective et le coût du changement de stratégie de croissance
Il convient de noter qu’avant cette attaque, Balancer avait eu une autre nouvelle importante : le 14 avril, le fournisseur de services de Balancer, Balancer OpCo, a annoncé avoir licencié deux ingénieurs et réduit son budget de fonctionnement.
Balancer OpCo est une filiale en propriété exclusive de Balancer Foundation et fournit à Balancer des prestataires de services de gestion et d'exploitation ainsi que des flux de travail de développement et d'ingénierie front-end. D'août de l'année dernière à juin de cette année, 7 propositions impliquant Balancer OpCo dans Balancer DAO ont montré que 5 des propositions ont été approuvées. En plus du financement de l'équipe, 250 000 BAL supplémentaires ont été transférés à OpCo afin qu'OpCo puisse travailler sur des ventes privées. de jetons. Actuellement, les propositions visant à financer le fonctionnement de la plateforme au cours de l'année prochaine sont également au stade de discussion préliminaire.
Cependant, à mesure que l'accord s'est concentré sur l'amélioration de l'interface utilisateur et du marketing, les effectifs de Balancer OpCo ont été réduits. À cette fin, Balancer créera une équipe marketing dédiée, Orb Collective, chargée de discuter des mécanismes sur la manière dont Balancer peut travailler avec les utilisateurs de la plate-forme pour promouvoir le développement du protocole Balancer à travers des efforts de partenariats, de marketing, d'intégration, de conception et d'opérations humaines pour développer le protocole Balancer.taux d’adoption mondial. En août de l'année dernière, Orb Collective a été officiellement lancé et l'équipe a déclaré que la nouvelle stratégie de promotion utiliserait également des « sons natifs cryptés de Twitter ».
Il convient de noter qu’en avril de cette année, Balancer Governance a mis à jour le plan financier d’Orb Collective dans une proposition visant à renouveler le contrat d’audit des contrats intelligents de Certora, à partir du deuxième trimestre 2023, dans le but de l’allouer du budget d’Orb Collective à OpCo. la sécurité des fonds des utilisateurs de Balancer. Cependant, près de 80 % des membres de la communauté Balancer DAO ont rejeté la proposition de Balancer OpCo Limited de procéder à un audit des contrats intelligents. C'est la seule proposition rejetée parmi les sept propositions.
Le même mois, Coindesk a publié un article intitulé « DeFi Protocol Balancer réduit son budget et le nombre d'employés à mesure que la stratégie change », indiquant que Balancer procédera à des ajustements stratégiques. Selon l'article, l'équipe de Balancer OpCo a révélé lors d'un appel Discord auquel ont participé plus de 20 personnes en avril de cette année que l'entreprise avait licencié deux ingénieurs et réduit son budget de fonctionnement.
"Nous avons une nouvelle vision pour la marque Balancer qui nous passionne beaucoup", a déclaré Jeremy Musighi, PDG d'Orb Collective. "En même temps, nous avons apporté quelques changements à notre équipe marketing pour nous assurer que nous disposons des bonnes personnes. . Pour exécuter cette nouvelle vision. » Au troisième trimestre 2022, l'équipe Orb a demandé un budget de fonctionnement de 76 000 $ US, dans l'espoir d'élargir la voix de Balancer sur les plateformes sociales, les podcasts, le maintien des relations communautaires, etc. Au quatrième trimestre, la proposition de demande de budget indiquait qu'en raison du cycle de marché baissier, le budget de fonctionnement de l'équipe Orb n'était que de 48 000 $, soit une baisse de près de 50 %.
Dans le même temps, l'équipe a déclaré qu'il s'agissait de réformer la stratégie de marque et qu'elle se concentrerait à l'avenir sur l'amélioration de son interface utilisateur et de son marketing. Lorsque cette nouvelle a été annoncée, Balancer a été confronté à une certaine pression du marché. C'est peut-être ces licenciements précoces qui ont donné aux attaquants l'occasion de trouver une autre solution.
Cette fois, le front-end de Balancer a été attaqué, et il est difficile de ne pas le relier à l'échec de la proposition d'audit des contrats intelligents et au licenciement du personnel front-end. Peut-être que le changement stratégique est faux et que le cycle de marché baissier est vrai lorsque les fonds sont serrés, augmentant les revenus et réduisant les dépenses.
Inquiétudes cachées du front-end centralisé
Outre des raisons internes au sein de l’équipe Balancer, cette attaque a également suscité des inquiétudes dans la communauté concernant le front-end centralisé des protocoles DeFi.
Dans l'histoire du développement de DeFi, il existe de rares incidents de pertes dus à des attaques frontales. En décembre 2021, une série de codes malveillants ont été injectés dans le code frontal du site Web de l'organisation décentralisée Badger DAO. ceci à l'insu de l'utilisateur. Si nécessaire, confirmez la transaction et transférez les tokens. En mai 2022, le DEX MM.Finance écologique Cronos a subi une attaque frontale et des pirates ont utilisé des vulnérabilités DNS pour voler plus de 2 millions de dollars d'actifs aux utilisateurs.
La dernière fois que le front-end décentralisé a été discuté à grande échelle, c'est parce que Tornado Cash a été sanctionné et le front-end a été interdit. Mais aujourd’hui, le front-end est également soumis à des pressions sécuritaires. Certaines personnes pensent que l'ENS peut être une solution aux attaques frontales, mais la résolution des noms de domaine ENS est « centralisée », il n'est donc pas très réaliste de l'utiliser pour résister aux « attaques contre la décentralisation ».
Bien que les contrats DeFi ne puissent pas être falsifiés ou retirés une fois déployés et ne soient théoriquement pas soumis à une intervention humaine, la grande majorité des frontaux sont toujours mis en œuvre via des architectures traditionnelles. Bien que les pages Web elles-mêmes évoluent et se développent constamment, les noms de domaine, services réseau et serveurs Il existe de nombreuses menaces potentielles dans les services de stockage, etc. Dans le même temps, les attaques sur le front-end sont souvent facilement ignorées par les développeurs.
Balancer, le DeFi OG, est désormais également attaqué en front-end, ce qui fait que des voix s'élèvent dans la communauté appelant à la construction d'un front-end décentralisé. Cependant, ces voix ne sont pas très nombreuses. Comparé à la chaleur provoquée par l'interdiction du front-end d'Uniswap et de Tornado Cash, ce que nous, utilisateurs ordinaires, devons faire pour pirater le front-end actuellement doit encore être continuellement exploré par l'industrie du cryptage.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Derrière l'attaque Balancer : en plus des licenciements dans l'équipe de sécurité, nous devons également prêter attention aux soucis cachés du front-end centralisé
 Écrit par:Luccy、Kaori、BlockBeats
Editeur : Jack, BlockBeats
Le 20 septembre, Balancer a subi une perte de 238 000 $ US lors d'une nouvelle série d'attaques. L'analyse de SlowMist Intelligence estime qu'il s'agit d'une attaque de détournement BGP. La visite du site Web pour lier le portefeuille provoquera des attaques de phishing. Par la suite, SlowMist MistTrack a déclaré que les frais de l'attaquant Balancer provenaient du groupe de phishing Angel Drainer. Actuellement, Balancer indique que le frontend a été restauré en sécurité et est de nouveau sous le contrôle de Balancer DAO.
Le BGPHijacking, également connu sous le nom de détournement de route BGP, est une méthode d'attaque frontale. Lors d'une attaque de détournement BGP, l'attaquant envoie de fausses informations de mise à jour de routage BGP pour amener d'autres routeurs à diriger le trafic dans la mauvaise direction, écoutant ainsi, falsifiant ou interrompant le trafic. En termes simples, le site Web était capable d'envoyer des courriers indésirables approuvant les transactions, permettant ainsi au contrat malveillant de détourner tous les fonds de l'utilisateur.
C'est également la plus grande différence par rapport aux attaques précédentes : l'attaque visait le front-end du Balancer.
OpCo, Orb Collective et le coût du changement de stratégie de croissance
Il convient de noter qu’avant cette attaque, Balancer avait eu une autre nouvelle importante : le 14 avril, le fournisseur de services de Balancer, Balancer OpCo, a annoncé avoir licencié deux ingénieurs et réduit son budget de fonctionnement.
Balancer OpCo est une filiale en propriété exclusive de Balancer Foundation et fournit à Balancer des prestataires de services de gestion et d'exploitation ainsi que des flux de travail de développement et d'ingénierie front-end. D'août de l'année dernière à juin de cette année, 7 propositions impliquant Balancer OpCo dans Balancer DAO ont montré que 5 des propositions ont été approuvées. En plus du financement de l'équipe, 250 000 BAL supplémentaires ont été transférés à OpCo afin qu'OpCo puisse travailler sur des ventes privées. de jetons. Actuellement, les propositions visant à financer le fonctionnement de la plateforme au cours de l'année prochaine sont également au stade de discussion préliminaire.
Cependant, à mesure que l'accord s'est concentré sur l'amélioration de l'interface utilisateur et du marketing, les effectifs de Balancer OpCo ont été réduits. À cette fin, Balancer créera une équipe marketing dédiée, Orb Collective, chargée de discuter des mécanismes sur la manière dont Balancer peut travailler avec les utilisateurs de la plate-forme pour promouvoir le développement du protocole Balancer à travers des efforts de partenariats, de marketing, d'intégration, de conception et d'opérations humaines pour développer le protocole Balancer.taux d’adoption mondial. En août de l'année dernière, Orb Collective a été officiellement lancé et l'équipe a déclaré que la nouvelle stratégie de promotion utiliserait également des « sons natifs cryptés de Twitter ».
Il convient de noter qu’en avril de cette année, Balancer Governance a mis à jour le plan financier d’Orb Collective dans une proposition visant à renouveler le contrat d’audit des contrats intelligents de Certora, à partir du deuxième trimestre 2023, dans le but de l’allouer du budget d’Orb Collective à OpCo. la sécurité des fonds des utilisateurs de Balancer. Cependant, près de 80 % des membres de la communauté Balancer DAO ont rejeté la proposition de Balancer OpCo Limited de procéder à un audit des contrats intelligents. C'est la seule proposition rejetée parmi les sept propositions.
Le même mois, Coindesk a publié un article intitulé « DeFi Protocol Balancer réduit son budget et le nombre d'employés à mesure que la stratégie change », indiquant que Balancer procédera à des ajustements stratégiques. Selon l'article, l'équipe de Balancer OpCo a révélé lors d'un appel Discord auquel ont participé plus de 20 personnes en avril de cette année que l'entreprise avait licencié deux ingénieurs et réduit son budget de fonctionnement.
"Nous avons une nouvelle vision pour la marque Balancer qui nous passionne beaucoup", a déclaré Jeremy Musighi, PDG d'Orb Collective. "En même temps, nous avons apporté quelques changements à notre équipe marketing pour nous assurer que nous disposons des bonnes personnes. . Pour exécuter cette nouvelle vision. » Au troisième trimestre 2022, l'équipe Orb a demandé un budget de fonctionnement de 76 000 $ US, dans l'espoir d'élargir la voix de Balancer sur les plateformes sociales, les podcasts, le maintien des relations communautaires, etc. Au quatrième trimestre, la proposition de demande de budget indiquait qu'en raison du cycle de marché baissier, le budget de fonctionnement de l'équipe Orb n'était que de 48 000 $, soit une baisse de près de 50 %.
Dans le même temps, l'équipe a déclaré qu'il s'agissait de réformer la stratégie de marque et qu'elle se concentrerait à l'avenir sur l'amélioration de son interface utilisateur et de son marketing. Lorsque cette nouvelle a été annoncée, Balancer a été confronté à une certaine pression du marché. C'est peut-être ces licenciements précoces qui ont donné aux attaquants l'occasion de trouver une autre solution.
Cette fois, le front-end de Balancer a été attaqué, et il est difficile de ne pas le relier à l'échec de la proposition d'audit des contrats intelligents et au licenciement du personnel front-end. Peut-être que le changement stratégique est faux et que le cycle de marché baissier est vrai lorsque les fonds sont serrés, augmentant les revenus et réduisant les dépenses.
Inquiétudes cachées du front-end centralisé
Outre des raisons internes au sein de l’équipe Balancer, cette attaque a également suscité des inquiétudes dans la communauté concernant le front-end centralisé des protocoles DeFi.
Dans l'histoire du développement de DeFi, il existe de rares incidents de pertes dus à des attaques frontales. En décembre 2021, une série de codes malveillants ont été injectés dans le code frontal du site Web de l'organisation décentralisée Badger DAO. ceci à l'insu de l'utilisateur. Si nécessaire, confirmez la transaction et transférez les tokens. En mai 2022, le DEX MM.Finance écologique Cronos a subi une attaque frontale et des pirates ont utilisé des vulnérabilités DNS pour voler plus de 2 millions de dollars d'actifs aux utilisateurs.
La dernière fois que le front-end décentralisé a été discuté à grande échelle, c'est parce que Tornado Cash a été sanctionné et le front-end a été interdit. Mais aujourd’hui, le front-end est également soumis à des pressions sécuritaires. Certaines personnes pensent que l'ENS peut être une solution aux attaques frontales, mais la résolution des noms de domaine ENS est « centralisée », il n'est donc pas très réaliste de l'utiliser pour résister aux « attaques contre la décentralisation ».
Bien que les contrats DeFi ne puissent pas être falsifiés ou retirés une fois déployés et ne soient théoriquement pas soumis à une intervention humaine, la grande majorité des frontaux sont toujours mis en œuvre via des architectures traditionnelles. Bien que les pages Web elles-mêmes évoluent et se développent constamment, les noms de domaine, services réseau et serveurs Il existe de nombreuses menaces potentielles dans les services de stockage, etc. Dans le même temps, les attaques sur le front-end sont souvent facilement ignorées par les développeurs.
Balancer, le DeFi OG, est désormais également attaqué en front-end, ce qui fait que des voix s'élèvent dans la communauté appelant à la construction d'un front-end décentralisé. Cependant, ces voix ne sont pas très nombreuses. Comparé à la chaleur provoquée par l'interdiction du front-end d'Uniswap et de Tornado Cash, ce que nous, utilisateurs ordinaires, devons faire pour pirater le front-end actuellement doit encore être continuellement exploré par l'industrie du cryptage.