20 сентября Balancer понес убытки в размере 238 000 долларов США в результате нового раунда атак. Анализ SlowMist Intelligence предполагает, что это атака перехвата BGP. Посещение веб-сайта для привязки кошелька приведет к фишинговым атакам. Впоследствии SlowMist MistTrack заявил, что плата злоумышленнику Balancer поступила от фишинговой группы Angel Drainer. В настоящее время Balancer сообщает, что безопасность интерфейса восстановлена и он снова находится под контролем Balancer DAO.
BGPHijacking, также известный как перехват маршрута BGP, представляет собой метод внешней атаки. При атаке перехвата BGP злоумышленник отправляет ложную информацию об обновлении маршрутизации BGP, заставляя другие маршрутизаторы направлять трафик в неправильном направлении, тем самым подслушивая, подделывая или прерывая трафик. Проще говоря, веб-сайт мог рассылать спам-сообщения с подтверждением транзакций, позволяя вредоносному контракту перенаправлять все средства пользователя.
Это также самое большое отличие от предыдущих атак — атака была нацелена на интерфейс Balancer.
OpCo, коллектив Orb и цена изменения стратегии роста
Стоит отметить, что перед этой атакой у Balancer появилась еще одна важная новость: 14 апреля поставщик услуг Balancer, Balancer OpCo, объявил, что уволил двух инженеров и сократил свой операционный бюджет.
Balancer OpCo является дочерней компанией, находящейся в полной собственности Balancer Foundation, и предоставляет поставщикам услуг по управлению и эксплуатации, а также рабочие процессы внешней разработки и проектирования для Balancer. С августа прошлого года по июнь этого года из 7 предложений с участием Balancer OpCo в Balancer DAO было одобрено 5. Помимо командного финансирования, в OpCo было переведено еще 250 000 BAL, чтобы OpCo могла работать над частными продажами. токенов. В настоящее время предложения по финансированию работы платформы в следующем году также находятся на стадии предварительного обсуждения.
Однако, поскольку соглашение сместило акцент на улучшение пользовательского интерфейса и маркетинга, численность персонала Balancer OpCo была сокращена. С этой целью Balancer создаст специальную маркетинговую команду Orb Collective, ответственную за обсуждение механизмов того, как Balancer может работать с пользователями платформы для содействия развитию протокола Balancer посредством партнерских отношений, маркетинга, интеграции, проектирования и усилий по работе с персоналом для расширения. протокол Balancer, глобальный уровень внедрения. В августе прошлого года был официально запущен Orb Collective, и команда заявила, что в новой стратегии продвижения также будут использоваться «зашифрованные собственные звуки Twitter».
Стоит отметить, что в апреле этого года Balancer Governance обновила финансовый план Orb Collective, предложив продлить контракт на аудит смарт-контрактов Certora, начиная со второго квартала 2023 года, с целью выделения его из бюджета Orb Collective для OpCo. безопасность средств пользователей Balancer. Однако почти 80% членов сообщества Balancer DAO отклонили предложение Balancer OpCo Limited о проведении аудита смарт-контрактов.Это было единственное предложение, которое было отклонено среди семи предложений.
В том же месяце Coindesk опубликовал статью под названием «DeFi Protocol Balancer сокращает бюджет и количество сотрудников по мере изменения стратегии», в которой говорилось, что Balancer внесет стратегические корректировки. Согласно статье, команда Balancer OpCo сообщила в ходе телефонной беседы в Discord, на которой присутствовало более 20 человек в апреле этого года, что компания уволила двух инженеров и сократила свой операционный бюджет.
«У нас есть новое видение бренда Balancer, которое нас очень воодушевляет, — сказал Джереми Мусиги, генеральный директор Orb Collective. — В то же время мы вносим некоторые изменения в нашу маркетинговую команду, чтобы гарантировать, что у нас есть нужные люди. . Чтобы реализовать это новое видение». В третьем квартале 2022 года команда Orb подала заявку на операционный бюджет в размере 76 000 долларов США, надеясь расширить голос Balancer в социальных платформах, подкастах, поддержании связей с сообществом и т. д. В четвертом квартале в предложении по бюджетному запросу говорилось, что из-за цикла медвежьего рынка операционный бюджет команды Orb составил всего 48 000 долларов, то есть снижение почти на 50%.
В то же время команда заявила, что это направлено на реформирование стратегии бренда и в будущем сосредоточит свое внимание на улучшении пользовательского интерфейса и маркетинга. Когда эта новость была объявлена, Balancer столкнулся с некоторым давлением со стороны рынка. Возможно, именно увольнения фронтенда дали злоумышленникам возможность найти другой путь.
На этот раз атаке подвергся фронтенд Balancer, и это сложно не связать с провалом предложения по аудиту смарт-контрактов и увольнением фронтенд-персонала. Возможно, стратегические изменения ложны, а цикл медвежьего рынка верен, когда фонды ограничены, что приводит к увеличению доходов и сокращению расходов.
Скрытые опасения по поводу централизованного внешнего интерфейса
Помимо внутренних причин внутри команды Balancer, эта атака также вызвала обеспокоенность сообщества по поводу централизованного внешнего интерфейса протоколов DeFi.
В истории развития DeFi известны редкие случаи потерь из-за фронтенд-атак.В декабре 2021 года во фронтенд-код сайта децентрализованной организации Badger DAO была внедрена серия вредоносных кодов.Злоумышленники могут сделать это. это без ведома пользователя.При необходимости подтвердите транзакцию и переведите токены. В мае 2022 года экологический DEX MM.Finance Cronos подвергся внешней атаке, и хакеры использовали уязвимости DNS, чтобы украсть активы пользователей на сумму более 2 миллионов долларов.
В последний раз децентрализованный интерфейс широко обсуждался из-за того, что к Tornado Cash были применены санкции, а интерфейс был запрещен. Но сегодня передняя часть также находится под давлением безопасности. Некоторые думают, что ENS может быть решением для внешних атак, но разрешение доменных имен ENS «централизовано», поэтому не очень реалистично использовать его для сопротивления «атакам на децентрализацию».
Хотя контракты DeFi не могут быть изменены или отозваны после развертывания и теоретически не будут подвергаться вмешательству человека, подавляющее большинство интерфейсов по-прежнему реализуются с использованием традиционных архитектур. сетевые службы и серверы. Существует множество потенциальных угроз в службах хранения данных и т. д. В то же время разработчики часто легко игнорируют атаки на внешний интерфейс.
Balancer, DeFi OG, теперь также подвергается атаке со стороны внешнего интерфейса.В результате в сообществе раздаются голоса, призывающие к созданию децентрализованного внешнего интерфейса. Однако таких голосов не так уж и много: по сравнению с накалом, вызванным запретом фронтенда Uniswap и Tornado Cash, то, что нам, обычным пользователям, нужно сделать, чтобы взломать фронтенд в настоящее время, все еще требует постоянного изучения индустрии шифрования.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Атака на балансировщик: увольнения сотрудников службы безопасности и опасения по поводу централизованного внешнего интерфейса
Автор: Люси, Каори; Составитель: BlockBeats.
20 сентября Balancer понес убытки в размере 238 000 долларов США в результате нового раунда атак. Анализ SlowMist Intelligence предполагает, что это атака перехвата BGP. Посещение веб-сайта для привязки кошелька приведет к фишинговым атакам. Впоследствии SlowMist MistTrack заявил, что плата злоумышленнику Balancer поступила от фишинговой группы Angel Drainer. В настоящее время Balancer сообщает, что безопасность интерфейса восстановлена и он снова находится под контролем Balancer DAO.
BGPHijacking, также известный как перехват маршрута BGP, представляет собой метод внешней атаки. При атаке перехвата BGP злоумышленник отправляет ложную информацию об обновлении маршрутизации BGP, заставляя другие маршрутизаторы направлять трафик в неправильном направлении, тем самым подслушивая, подделывая или прерывая трафик. Проще говоря, веб-сайт мог рассылать спам-сообщения с подтверждением транзакций, позволяя вредоносному контракту перенаправлять все средства пользователя.
Это также самое большое отличие от предыдущих атак — атака была нацелена на интерфейс Balancer.
OpCo, коллектив Orb и цена изменения стратегии роста
Стоит отметить, что перед этой атакой у Balancer появилась еще одна важная новость: 14 апреля поставщик услуг Balancer, Balancer OpCo, объявил, что уволил двух инженеров и сократил свой операционный бюджет.
Balancer OpCo является дочерней компанией, находящейся в полной собственности Balancer Foundation, и предоставляет поставщикам услуг по управлению и эксплуатации, а также рабочие процессы внешней разработки и проектирования для Balancer. С августа прошлого года по июнь этого года из 7 предложений с участием Balancer OpCo в Balancer DAO было одобрено 5. Помимо командного финансирования, в OpCo было переведено еще 250 000 BAL, чтобы OpCo могла работать над частными продажами. токенов. В настоящее время предложения по финансированию работы платформы в следующем году также находятся на стадии предварительного обсуждения.
Однако, поскольку соглашение сместило акцент на улучшение пользовательского интерфейса и маркетинга, численность персонала Balancer OpCo была сокращена. С этой целью Balancer создаст специальную маркетинговую команду Orb Collective, ответственную за обсуждение механизмов того, как Balancer может работать с пользователями платформы для содействия развитию протокола Balancer посредством партнерских отношений, маркетинга, интеграции, проектирования и усилий по работе с персоналом для расширения. протокол Balancer, глобальный уровень внедрения. В августе прошлого года был официально запущен Orb Collective, и команда заявила, что в новой стратегии продвижения также будут использоваться «зашифрованные собственные звуки Twitter».
Стоит отметить, что в апреле этого года Balancer Governance обновила финансовый план Orb Collective, предложив продлить контракт на аудит смарт-контрактов Certora, начиная со второго квартала 2023 года, с целью выделения его из бюджета Orb Collective для OpCo. безопасность средств пользователей Balancer. Однако почти 80% членов сообщества Balancer DAO отклонили предложение Balancer OpCo Limited о проведении аудита смарт-контрактов.Это было единственное предложение, которое было отклонено среди семи предложений.
В том же месяце Coindesk опубликовал статью под названием «DeFi Protocol Balancer сокращает бюджет и количество сотрудников по мере изменения стратегии», в которой говорилось, что Balancer внесет стратегические корректировки. Согласно статье, команда Balancer OpCo сообщила в ходе телефонной беседы в Discord, на которой присутствовало более 20 человек в апреле этого года, что компания уволила двух инженеров и сократила свой операционный бюджет.
«У нас есть новое видение бренда Balancer, которое нас очень воодушевляет, — сказал Джереми Мусиги, генеральный директор Orb Collective. — В то же время мы вносим некоторые изменения в нашу маркетинговую команду, чтобы гарантировать, что у нас есть нужные люди. . Чтобы реализовать это новое видение». В третьем квартале 2022 года команда Orb подала заявку на операционный бюджет в размере 76 000 долларов США, надеясь расширить голос Balancer в социальных платформах, подкастах, поддержании связей с сообществом и т. д. В четвертом квартале в предложении по бюджетному запросу говорилось, что из-за цикла медвежьего рынка операционный бюджет команды Orb составил всего 48 000 долларов, то есть снижение почти на 50%.
В то же время команда заявила, что это направлено на реформирование стратегии бренда и в будущем сосредоточит свое внимание на улучшении пользовательского интерфейса и маркетинга. Когда эта новость была объявлена, Balancer столкнулся с некоторым давлением со стороны рынка. Возможно, именно увольнения фронтенда дали злоумышленникам возможность найти другой путь.
На этот раз атаке подвергся фронтенд Balancer, и это сложно не связать с провалом предложения по аудиту смарт-контрактов и увольнением фронтенд-персонала. Возможно, стратегические изменения ложны, а цикл медвежьего рынка верен, когда фонды ограничены, что приводит к увеличению доходов и сокращению расходов.
Скрытые опасения по поводу централизованного внешнего интерфейса
Помимо внутренних причин внутри команды Balancer, эта атака также вызвала обеспокоенность сообщества по поводу централизованного внешнего интерфейса протоколов DeFi.
В истории развития DeFi известны редкие случаи потерь из-за фронтенд-атак.В декабре 2021 года во фронтенд-код сайта децентрализованной организации Badger DAO была внедрена серия вредоносных кодов.Злоумышленники могут сделать это. это без ведома пользователя.При необходимости подтвердите транзакцию и переведите токены. В мае 2022 года экологический DEX MM.Finance Cronos подвергся внешней атаке, и хакеры использовали уязвимости DNS, чтобы украсть активы пользователей на сумму более 2 миллионов долларов.
В последний раз децентрализованный интерфейс широко обсуждался из-за того, что к Tornado Cash были применены санкции, а интерфейс был запрещен. Но сегодня передняя часть также находится под давлением безопасности. Некоторые думают, что ENS может быть решением для внешних атак, но разрешение доменных имен ENS «централизовано», поэтому не очень реалистично использовать его для сопротивления «атакам на децентрализацию».
Хотя контракты DeFi не могут быть изменены или отозваны после развертывания и теоретически не будут подвергаться вмешательству человека, подавляющее большинство интерфейсов по-прежнему реализуются с использованием традиционных архитектур. сетевые службы и серверы. Существует множество потенциальных угроз в службах хранения данных и т. д. В то же время разработчики часто легко игнорируют атаки на внешний интерфейс.
Balancer, DeFi OG, теперь также подвергается атаке со стороны внешнего интерфейса.В результате в сообществе раздаются голоса, призывающие к созданию децентрализованного внешнего интерфейса. Однако таких голосов не так уж и много: по сравнению с накалом, вызванным запретом фронтенда Uniswap и Tornado Cash, то, что нам, обычным пользователям, нужно сделать, чтобы взломать фронтенд в настоящее время, все еще требует постоянного изучения индустрии шифрования.