 Ditulis oleh :Luccy、Kaori、BlockBeats
Editor: Jack, BlockBeats
Pada tanggal 20 September, Balancer menderita kerugian sebesar US$238.000 dalam putaran serangan baru. Analisis SlowMist Intelligence percaya bahwa ini adalah serangan Pembajakan BGP. Mengunjungi situs web untuk menautkan dompet akan menyebabkan serangan phishing. Selanjutnya, SlowMist MistTrack menyatakan bahwa biaya penyerang Balancer berasal dari grup phishing Angel Drainer. Saat ini, Balancer mengatakan frontend telah dipulihkan keamanannya dan kembali berada di bawah kendali Balancer DAO.
BGPHijacking, juga dikenal sebagai pembajakan rute BGP, adalah metode serangan front-end. Dalam serangan Pembajakan BGP, penyerang mengirimkan informasi pembaruan perutean BGP palsu yang menyebabkan router lain mengarahkan lalu lintas ke arah yang salah, sehingga menguping, mengganggu, atau mengganggu lalu lintas. Sederhananya, situs web tersebut dapat mengirimkan email spam yang menyetujui transaksi, sehingga memungkinkan kontrak jahat mengalihkan semua dana pengguna.
Ini juga merupakan perbedaan terbesar dari serangan sebelumnya – serangan tersebut menargetkan front-end Balancer.
OpCo, Orb Collective, dan Biaya Pergeseran Strategi Pertumbuhan
Perlu dicatat bahwa sebelum serangan ini, Balancer memiliki berita penting lainnya: Pada tanggal 14 April, penyedia layanan Balancer, Balancer OpCo, mengumumkan bahwa mereka telah memberhentikan dua insinyur dan mengurangi anggaran operasionalnya.
Balancer OpCo adalah anak perusahaan yang sepenuhnya dimiliki oleh Balancer Foundation dan menyediakan penyedia layanan manajemen dan operasi serta alur kerja pengembangan dan rekayasa front-end untuk Balancer. Dari Agustus tahun lalu hingga Juni tahun ini, 7 proposal yang melibatkan Balancer OpCo di Balancer DAO menunjukkan bahwa 5 proposal disetujui. Selain pembiayaan tim, tambahan 250.000 BAL ditransfer ke OpCo sehingga OpCo dapat dikerjakan untuk penjualan pribadi token. Saat ini, usulan pembiayaan pengoperasian platform tersebut pada tahun depan juga sedang dalam tahap pembahasan awal.
Namun, karena perjanjian tersebut mengalihkan fokusnya ke peningkatan antarmuka pengguna dan pemasaran, jumlah karyawan Balancer OpCo berkurang. Untuk mencapai tujuan ini, Balancer akan membentuk tim pemasaran khusus, Orb Collective, yang bertanggung jawab untuk mendiskusikan mekanisme bagaimana Balancer dapat bekerja dengan pengguna platform untuk mempromosikan pengembangan protokol Balancer melalui kemitraan, pemasaran, integrasi, desain, dan upaya operasi manusia untuk memperluas protokol Balancer, tingkat adopsi global. Pada bulan Agustus tahun lalu, Orb Collective secara resmi diluncurkan, dan tim menyatakan bahwa strategi promosi baru juga akan menggunakan "suara asli Twitter terenkripsi".
Perlu dicatat bahwa pada bulan April tahun ini, Balancer Governance memperbarui rencana keuangan Orb Collective dalam proposal untuk memperbarui kontrak audit kontrak pintar Certora, dimulai pada kuartal kedua tahun 2023, dengan tujuan mengalokasikannya dari anggaran Orb Collective ke OpCo. keamanan dana pengguna Balancer. Namun, hampir 80% anggota komunitas Balancer DAO menolak proposal Balancer OpCo Limited untuk melakukan audit kontrak pintar. Ini adalah satu-satunya proposal yang ditolak di antara tujuh proposal.
Pada bulan yang sama, Coindesk menerbitkan artikel berjudul "DeFi Protocol Balancer memotong anggaran dan jumlah karyawan seiring perubahan strategi", yang menyatakan bahwa Balancer akan melakukan penyesuaian strategis. Menurut artikel tersebut, tim Balancer OpCo mengungkapkan dalam panggilan Discord yang dihadiri oleh lebih dari 20 orang pada bulan April tahun ini bahwa perusahaan telah memberhentikan dua insinyur dan mengurangi anggaran operasionalnya.
“Kami memiliki visi baru untuk merek Balancer yang sangat kami sukai,” kata Jeremy Musighi, CEO Orb Collective. “Pada saat yang sama, kami telah membuat beberapa perubahan pada tim pemasaran kami untuk memastikan kami memiliki orang yang tepat. . Untuk melaksanakan visi baru ini." Pada kuartal ketiga tahun 2022, tim Orb mengajukan anggaran operasional sebesar US$76.000, dengan harapan dapat memperluas suara Balancer di platform sosial, podcast, pemeliharaan hubungan komunitas, dll. Pada kuartal keempat, proposal permintaan anggaran menyatakan bahwa karena siklus pasar beruang, anggaran operasional tim Orb hanya $48.000, turun hampir 50%.
Pada saat yang sama, tim menyatakan bahwa hal ini untuk mereformasi strategi merek dan akan mengalihkan fokusnya untuk meningkatkan antarmuka pengguna dan pemasaran di masa depan. Ketika berita ini diumumkan, Balancer menghadapi tekanan pasar. Mungkin PHK front-end inilah yang memberikan peluang bagi penyerang untuk menemukan cara lain.
Kali ini front-end Balancer diserang, dan sulit untuk tidak menghubungkannya dengan kegagalan proposal audit kontrak pintar dan PHK personel front-end. Mungkin perubahan strategis tersebut salah, dan siklus pasar bearish memang benar adanya ketika dana terbatas, meningkatkan pendapatan dan mengurangi pengeluaran.
Kekhawatiran tersembunyi tentang front-end terpusat
Selain alasan internal dalam tim Balancer, serangan ini juga menimbulkan kekhawatiran komunitas mengenai front-end protokol DeFi yang terpusat.
Dalam sejarah perkembangan DeFi, jarang terjadi insiden kerugian akibat serangan front-end. Pada bulan Desember 2021, serangkaian kode berbahaya disuntikkan ke dalam kode front-end situs web organisasi desentralisasi Badger DAO. Penyerang dapat melakukannya ini tanpa sepengetahuan pengguna. Jika perlu, konfirmasikan transaksi dan transfer token. Pada Mei 2022, DEX MM.Finance ekologi Cronos mengalami serangan front-end, dan peretas menggunakan kerentanan DNS untuk mencuri aset lebih dari $2 juta dari pengguna.
Terakhir kali front-end terdesentralisasi dibahas dalam skala besar adalah karena Tornado Cash terkena sanksi dan front-end dilarang. Namun saat ini bagian depan juga berada di bawah tekanan keamanan. Beberapa orang berpikir bahwa ENS mungkin merupakan solusi untuk serangan front-end, namun resolusi nama domain ENS bersifat "terpusat", sehingga tidak realistis untuk menggunakannya untuk melawan "serangan terhadap desentralisasi".
Meskipun kontrak DeFi tidak dapat diubah atau ditarik setelah diterapkan, dan secara teoritis tidak akan tunduk pada campur tangan manusia, sebagian besar front-end masih diterapkan melalui arsitektur tradisional. Meskipun halaman web itu sendiri terus berevolusi dan berkembang, nama domain, layanan jaringan, dan server Ada banyak potensi ancaman pada layanan penyimpanan, dll. Pada saat yang sama, serangan pada front end sering kali mudah diabaikan oleh pengembang.
Balancer, DeFi OG, kini juga sedang diserang front-end, sehingga muncul suara-suara di komunitas yang menyerukan pembangunan front-end yang terdesentralisasi. Namun, suara-suara seperti itu tidak terlalu banyak. Dibandingkan dengan panas yang disebabkan oleh pelarangan front-end Uniswap dan Tornado Cash, apa yang perlu dilakukan oleh kita sebagai pengguna biasa untuk meretas front-end saat ini masih perlu terus dieksplorasi oleh industri enkripsi.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Di balik serangan Balancer: Selain PHK di tim keamanan, kita juga harus memperhatikan kekhawatiran tersembunyi dari front-end yang terpusat
 Ditulis oleh :Luccy、Kaori、BlockBeats
Editor: Jack, BlockBeats
Pada tanggal 20 September, Balancer menderita kerugian sebesar US$238.000 dalam putaran serangan baru. Analisis SlowMist Intelligence percaya bahwa ini adalah serangan Pembajakan BGP. Mengunjungi situs web untuk menautkan dompet akan menyebabkan serangan phishing. Selanjutnya, SlowMist MistTrack menyatakan bahwa biaya penyerang Balancer berasal dari grup phishing Angel Drainer. Saat ini, Balancer mengatakan frontend telah dipulihkan keamanannya dan kembali berada di bawah kendali Balancer DAO.
BGPHijacking, juga dikenal sebagai pembajakan rute BGP, adalah metode serangan front-end. Dalam serangan Pembajakan BGP, penyerang mengirimkan informasi pembaruan perutean BGP palsu yang menyebabkan router lain mengarahkan lalu lintas ke arah yang salah, sehingga menguping, mengganggu, atau mengganggu lalu lintas. Sederhananya, situs web tersebut dapat mengirimkan email spam yang menyetujui transaksi, sehingga memungkinkan kontrak jahat mengalihkan semua dana pengguna.
Ini juga merupakan perbedaan terbesar dari serangan sebelumnya – serangan tersebut menargetkan front-end Balancer.
OpCo, Orb Collective, dan Biaya Pergeseran Strategi Pertumbuhan
Perlu dicatat bahwa sebelum serangan ini, Balancer memiliki berita penting lainnya: Pada tanggal 14 April, penyedia layanan Balancer, Balancer OpCo, mengumumkan bahwa mereka telah memberhentikan dua insinyur dan mengurangi anggaran operasionalnya.
Balancer OpCo adalah anak perusahaan yang sepenuhnya dimiliki oleh Balancer Foundation dan menyediakan penyedia layanan manajemen dan operasi serta alur kerja pengembangan dan rekayasa front-end untuk Balancer. Dari Agustus tahun lalu hingga Juni tahun ini, 7 proposal yang melibatkan Balancer OpCo di Balancer DAO menunjukkan bahwa 5 proposal disetujui. Selain pembiayaan tim, tambahan 250.000 BAL ditransfer ke OpCo sehingga OpCo dapat dikerjakan untuk penjualan pribadi token. Saat ini, usulan pembiayaan pengoperasian platform tersebut pada tahun depan juga sedang dalam tahap pembahasan awal.
Namun, karena perjanjian tersebut mengalihkan fokusnya ke peningkatan antarmuka pengguna dan pemasaran, jumlah karyawan Balancer OpCo berkurang. Untuk mencapai tujuan ini, Balancer akan membentuk tim pemasaran khusus, Orb Collective, yang bertanggung jawab untuk mendiskusikan mekanisme bagaimana Balancer dapat bekerja dengan pengguna platform untuk mempromosikan pengembangan protokol Balancer melalui kemitraan, pemasaran, integrasi, desain, dan upaya operasi manusia untuk memperluas protokol Balancer, tingkat adopsi global. Pada bulan Agustus tahun lalu, Orb Collective secara resmi diluncurkan, dan tim menyatakan bahwa strategi promosi baru juga akan menggunakan "suara asli Twitter terenkripsi".
Perlu dicatat bahwa pada bulan April tahun ini, Balancer Governance memperbarui rencana keuangan Orb Collective dalam proposal untuk memperbarui kontrak audit kontrak pintar Certora, dimulai pada kuartal kedua tahun 2023, dengan tujuan mengalokasikannya dari anggaran Orb Collective ke OpCo. keamanan dana pengguna Balancer. Namun, hampir 80% anggota komunitas Balancer DAO menolak proposal Balancer OpCo Limited untuk melakukan audit kontrak pintar. Ini adalah satu-satunya proposal yang ditolak di antara tujuh proposal.
Pada bulan yang sama, Coindesk menerbitkan artikel berjudul "DeFi Protocol Balancer memotong anggaran dan jumlah karyawan seiring perubahan strategi", yang menyatakan bahwa Balancer akan melakukan penyesuaian strategis. Menurut artikel tersebut, tim Balancer OpCo mengungkapkan dalam panggilan Discord yang dihadiri oleh lebih dari 20 orang pada bulan April tahun ini bahwa perusahaan telah memberhentikan dua insinyur dan mengurangi anggaran operasionalnya.
“Kami memiliki visi baru untuk merek Balancer yang sangat kami sukai,” kata Jeremy Musighi, CEO Orb Collective. “Pada saat yang sama, kami telah membuat beberapa perubahan pada tim pemasaran kami untuk memastikan kami memiliki orang yang tepat. . Untuk melaksanakan visi baru ini." Pada kuartal ketiga tahun 2022, tim Orb mengajukan anggaran operasional sebesar US$76.000, dengan harapan dapat memperluas suara Balancer di platform sosial, podcast, pemeliharaan hubungan komunitas, dll. Pada kuartal keempat, proposal permintaan anggaran menyatakan bahwa karena siklus pasar beruang, anggaran operasional tim Orb hanya $48.000, turun hampir 50%.
Pada saat yang sama, tim menyatakan bahwa hal ini untuk mereformasi strategi merek dan akan mengalihkan fokusnya untuk meningkatkan antarmuka pengguna dan pemasaran di masa depan. Ketika berita ini diumumkan, Balancer menghadapi tekanan pasar. Mungkin PHK front-end inilah yang memberikan peluang bagi penyerang untuk menemukan cara lain.
Kali ini front-end Balancer diserang, dan sulit untuk tidak menghubungkannya dengan kegagalan proposal audit kontrak pintar dan PHK personel front-end. Mungkin perubahan strategis tersebut salah, dan siklus pasar bearish memang benar adanya ketika dana terbatas, meningkatkan pendapatan dan mengurangi pengeluaran.
Kekhawatiran tersembunyi tentang front-end terpusat
Selain alasan internal dalam tim Balancer, serangan ini juga menimbulkan kekhawatiran komunitas mengenai front-end protokol DeFi yang terpusat.
Dalam sejarah perkembangan DeFi, jarang terjadi insiden kerugian akibat serangan front-end. Pada bulan Desember 2021, serangkaian kode berbahaya disuntikkan ke dalam kode front-end situs web organisasi desentralisasi Badger DAO. Penyerang dapat melakukannya ini tanpa sepengetahuan pengguna. Jika perlu, konfirmasikan transaksi dan transfer token. Pada Mei 2022, DEX MM.Finance ekologi Cronos mengalami serangan front-end, dan peretas menggunakan kerentanan DNS untuk mencuri aset lebih dari $2 juta dari pengguna.
Terakhir kali front-end terdesentralisasi dibahas dalam skala besar adalah karena Tornado Cash terkena sanksi dan front-end dilarang. Namun saat ini bagian depan juga berada di bawah tekanan keamanan. Beberapa orang berpikir bahwa ENS mungkin merupakan solusi untuk serangan front-end, namun resolusi nama domain ENS bersifat "terpusat", sehingga tidak realistis untuk menggunakannya untuk melawan "serangan terhadap desentralisasi".
Meskipun kontrak DeFi tidak dapat diubah atau ditarik setelah diterapkan, dan secara teoritis tidak akan tunduk pada campur tangan manusia, sebagian besar front-end masih diterapkan melalui arsitektur tradisional. Meskipun halaman web itu sendiri terus berevolusi dan berkembang, nama domain, layanan jaringan, dan server Ada banyak potensi ancaman pada layanan penyimpanan, dll. Pada saat yang sama, serangan pada front end sering kali mudah diabaikan oleh pengembang.
Balancer, DeFi OG, kini juga sedang diserang front-end, sehingga muncul suara-suara di komunitas yang menyerukan pembangunan front-end yang terdesentralisasi. Namun, suara-suara seperti itu tidak terlalu banyak. Dibandingkan dengan panas yang disebabkan oleh pelarangan front-end Uniswap dan Tornado Cash, apa yang perlu dilakukan oleh kita sebagai pengguna biasa untuk meretas front-end saat ini masih perlu terus dieksplorasi oleh industri enkripsi.