 Được viết bởi :Luccy、Kaori、BlockBeats
Biên tập: Jack, BlockBeats
Vào ngày 20 tháng 9, Balancer bị thiệt hại 238.000 USD trong một đợt tấn công mới. Phân tích của SlowMist Intelligence tin rằng đây là một cuộc tấn công chiếm quyền điều khiển BGP. Việc truy cập trang web để liên kết ví sẽ gây ra các cuộc tấn công lừa đảo. Sau đó, SlowMist MistTrack tuyên bố rằng phí tấn công Balancer đến từ nhóm lừa đảo Angel Drainer. Hiện tại, Balancer cho biết giao diện người dùng đã được khôi phục về mức độ bảo mật và trở lại dưới sự kiểm soát của Balancer DAO.
BGPHijacking hay còn gọi là chiếm quyền điều khiển tuyến đường BGP, là một phương thức tấn công từ phía trước. Trong một cuộc tấn công chiếm quyền điều khiển BGP, kẻ tấn công gửi thông tin cập nhật định tuyến BGP sai để khiến các bộ định tuyến khác điều hướng lưu lượng truy cập sai hướng, do đó nghe lén, giả mạo hoặc làm gián đoạn lưu lượng. Nói một cách đơn giản, trang web có thể gửi email spam phê duyệt các giao dịch, cho phép hợp đồng độc hại chuyển toàn bộ tiền của người dùng.
Đây cũng là điểm khác biệt lớn nhất so với các cuộc tấn công trước đó - cuộc tấn công nhắm vào giao diện Balancer.
OpCo, Orb Collective và cái giá của việc thay đổi chiến lược tăng trưởng
Điều đáng chú ý là trước cuộc tấn công này, Balancer còn có một tin quan trọng khác là vào ngày 14/4, nhà cung cấp dịch vụ của Balancer là Balancer OpCo thông báo đã sa thải hai kỹ sư và giảm ngân sách hoạt động.
Balancer OpCo là công ty con thuộc sở hữu hoàn toàn của Balancer Foundation và cung cấp các nhà cung cấp dịch vụ quản lý và vận hành cũng như quy trình kỹ thuật và phát triển front-end cho Balancer. Từ tháng 8 năm ngoái đến tháng 6 năm nay, 7 đề xuất liên quan đến Balancer OpCo trong Balancer DAO cho thấy 5 đề xuất đã được phê duyệt. Ngoài nguồn tài trợ cho nhóm, 250.000 BAL bổ sung đã được chuyển cho OpCo để OpCo có thể hoạt động cho hoạt động bán hàng tư nhân của các token. Hiện tại, các đề xuất tài trợ cho hoạt động của nền tảng trong năm tới cũng đang trong giai đoạn thảo luận sơ bộ.
Tuy nhiên, do thỏa thuận chuyển trọng tâm sang cải thiện giao diện người dùng và tiếp thị, số lượng nhân viên của Balancer OpCo đã giảm. Để đạt được mục tiêu này, Balancer sẽ thành lập một nhóm tiếp thị chuyên dụng, Orb Collective, chịu trách nhiệm thảo luận về các cơ chế về cách Balancer có thể làm việc với người dùng nền tảng nhằm thúc đẩy sự phát triển của giao thức Balancer thông qua các nỗ lực hợp tác, tiếp thị, tích hợp, thiết kế và vận hành con người để mở rộng giao thức Balancer.tỷ lệ chấp nhận toàn cầu. Vào tháng 8 năm ngoái, Orb Collective đã chính thức ra mắt và nhóm tuyên bố rằng chiến lược quảng cáo mới cũng sẽ sử dụng "âm thanh gốc được mã hóa của Twitter".
Điều đáng chú ý là vào tháng 4 năm nay, Balancer Governance đã cập nhật kế hoạch tài chính của Orb Collective trong đề xuất gia hạn hợp đồng kiểm toán hợp đồng thông minh của Certora, bắt đầu từ quý 2 năm 2023, với mục đích phân bổ từ ngân sách của Orb Collective cho OpCo. sự an toàn cho tiền của người dùng Balancer. Tuy nhiên, gần 80% thành viên cộng đồng Balancer DAO đã từ chối đề xuất của Balancer OpCo Limited về việc tiến hành kiểm tra hợp đồng thông minh, đây là đề xuất duy nhất bị từ chối trong số bảy đề xuất.
Trong cùng tháng, Coindesk đã xuất bản một bài báo có tiêu đề “DeFi Protocol Balancer cắt giảm ngân sách và số lượng nhân viên khi chiến lược thay đổi”, nói rằng Balancer sẽ thực hiện các điều chỉnh chiến lược. Theo bài báo, nhóm Balancer OpCo đã tiết lộ trong một cuộc gọi Discord có hơn 20 người tham dự vào tháng 4 năm nay rằng công ty đã sa thải hai kỹ sư và giảm ngân sách hoạt động.
Jeremy Musighi, Giám đốc điều hành của Orb Collective cho biết: “Chúng tôi có một tầm nhìn mới cho thương hiệu Balancer mà chúng tôi rất hào hứng. Đồng thời, chúng tôi đã thực hiện một số thay đổi đối với nhóm tiếp thị của mình để đảm bảo chúng tôi có đúng người.” Để thực hiện tầm nhìn mới này." Vào quý 3 năm 2022, nhóm Orb đã nộp đơn xin cấp ngân sách hoạt động là 76.000 USD với hy vọng mở rộng tiếng nói của Balancer trên các nền tảng xã hội, podcast, duy trì mối quan hệ cộng đồng, v.v. Trong quý 4, đề xuất yêu cầu ngân sách cho biết do chu kỳ thị trường giá xuống, ngân sách hoạt động của nhóm Orb chỉ còn 48.000 USD, giảm gần 50%.
Đồng thời, nhóm tuyên bố rằng việc này nhằm cải tổ chiến lược thương hiệu và sẽ chuyển trọng tâm sang cải thiện giao diện người dùng và hoạt động tiếp thị trong tương lai. Khi tin tức này được công bố, Balancer phải đối mặt với một số áp lực thị trường, có lẽ chính việc sa thải nhân viên front-end đã tạo cơ hội cho những kẻ tấn công tìm ra cách khác.
Lần này giao diện người dùng của Balancer đã bị tấn công và rất khó để không kết nối nó với sự thất bại của đề xuất kiểm toán hợp đồng thông minh và việc sa thải nhân viên giao diện người dùng. Có thể sự thay đổi chiến lược là sai và chu kỳ thị trường giá xuống là đúng khi nguồn vốn thắt chặt, tăng doanh thu và giảm chi tiêu.
Nỗi lo tiềm ẩn của front-end tập trung
Ngoài các lý do nội bộ trong nhóm Balancer, cuộc tấn công này còn khiến cộng đồng lo ngại về giao thức DeFi tập trung.
Trong lịch sử phát triển DeFi hiếm khi xảy ra sự cố tổn thất do các cuộc tấn công từ phía trước, vào tháng 12 năm 2021, một loạt mã độc đã được tiêm vào mã phía trước của trang web của tổ chức phi tập trung Badger DAO. Những kẻ tấn công có thể làm được điều đó điều này mà người dùng không biết. Nếu cần, hãy xác nhận giao dịch và chuyển mã thông báo. Vào tháng 5 năm 2022, DEX MM.Finance sinh thái Cronos đã phải hứng chịu một cuộc tấn công từ phía trước và tin tặc đã sử dụng các lỗ hổng DNS để đánh cắp tài sản trị giá hơn 2 triệu USD từ người dùng.
Lần cuối cùng giao diện người dùng phi tập trung được thảo luận trên quy mô lớn là do Tornado Cash bị xử phạt và giao diện người dùng bị cấm. Nhưng ngày nay mặt trước cũng chịu áp lực về an ninh. Một số người cho rằng ENS có thể là giải pháp cho các cuộc tấn công front-end, nhưng độ phân giải tên miền ENS là “tập trung” nên việc sử dụng nó để chống lại “các cuộc tấn công phi tập trung” là không thực tế lắm.
Mặc dù các hợp đồng DeFi không thể bị giả mạo hoặc rút lại sau khi triển khai và về mặt lý thuyết sẽ không chịu sự can thiệp của con người, nhưng phần lớn giao diện người dùng vẫn được triển khai thông qua kiến trúc truyền thống. dịch vụ mạng và máy chủ Có rất nhiều mối đe dọa tiềm ẩn trong các dịch vụ lưu trữ, v.v. Đồng thời, các cuộc tấn công vào giao diện người dùng thường dễ bị các nhà phát triển bỏ qua.
Balancer, DeFi OG, hiện cũng đang bị tấn công từ giao diện người dùng. Do đó, có nhiều tiếng nói trong cộng đồng kêu gọi xây dựng một giao diện người dùng phi tập trung. Tuy nhiên, những tiếng nói như vậy không có quá nhiều, so với sức nóng do lệnh cấm front-end của Uniswap và Tornado Cash gây ra, những gì người dùng bình thường chúng ta cần làm để hack front-end hiện nay vẫn cần tiếp tục được khám phá bởi ngành công nghiệp mã hóa.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Đằng sau cuộc tấn công Balancer: Ngoài việc sa thải đội ngũ bảo mật, chúng ta cũng nên chú ý đến những lo lắng tiềm ẩn của front-end tập trung
 Được viết bởi :Luccy、Kaori、BlockBeats
Biên tập: Jack, BlockBeats
Vào ngày 20 tháng 9, Balancer bị thiệt hại 238.000 USD trong một đợt tấn công mới. Phân tích của SlowMist Intelligence tin rằng đây là một cuộc tấn công chiếm quyền điều khiển BGP. Việc truy cập trang web để liên kết ví sẽ gây ra các cuộc tấn công lừa đảo. Sau đó, SlowMist MistTrack tuyên bố rằng phí tấn công Balancer đến từ nhóm lừa đảo Angel Drainer. Hiện tại, Balancer cho biết giao diện người dùng đã được khôi phục về mức độ bảo mật và trở lại dưới sự kiểm soát của Balancer DAO.
BGPHijacking hay còn gọi là chiếm quyền điều khiển tuyến đường BGP, là một phương thức tấn công từ phía trước. Trong một cuộc tấn công chiếm quyền điều khiển BGP, kẻ tấn công gửi thông tin cập nhật định tuyến BGP sai để khiến các bộ định tuyến khác điều hướng lưu lượng truy cập sai hướng, do đó nghe lén, giả mạo hoặc làm gián đoạn lưu lượng. Nói một cách đơn giản, trang web có thể gửi email spam phê duyệt các giao dịch, cho phép hợp đồng độc hại chuyển toàn bộ tiền của người dùng.
Đây cũng là điểm khác biệt lớn nhất so với các cuộc tấn công trước đó - cuộc tấn công nhắm vào giao diện Balancer.
OpCo, Orb Collective và cái giá của việc thay đổi chiến lược tăng trưởng
Điều đáng chú ý là trước cuộc tấn công này, Balancer còn có một tin quan trọng khác là vào ngày 14/4, nhà cung cấp dịch vụ của Balancer là Balancer OpCo thông báo đã sa thải hai kỹ sư và giảm ngân sách hoạt động.
Balancer OpCo là công ty con thuộc sở hữu hoàn toàn của Balancer Foundation và cung cấp các nhà cung cấp dịch vụ quản lý và vận hành cũng như quy trình kỹ thuật và phát triển front-end cho Balancer. Từ tháng 8 năm ngoái đến tháng 6 năm nay, 7 đề xuất liên quan đến Balancer OpCo trong Balancer DAO cho thấy 5 đề xuất đã được phê duyệt. Ngoài nguồn tài trợ cho nhóm, 250.000 BAL bổ sung đã được chuyển cho OpCo để OpCo có thể hoạt động cho hoạt động bán hàng tư nhân của các token. Hiện tại, các đề xuất tài trợ cho hoạt động của nền tảng trong năm tới cũng đang trong giai đoạn thảo luận sơ bộ.
Tuy nhiên, do thỏa thuận chuyển trọng tâm sang cải thiện giao diện người dùng và tiếp thị, số lượng nhân viên của Balancer OpCo đã giảm. Để đạt được mục tiêu này, Balancer sẽ thành lập một nhóm tiếp thị chuyên dụng, Orb Collective, chịu trách nhiệm thảo luận về các cơ chế về cách Balancer có thể làm việc với người dùng nền tảng nhằm thúc đẩy sự phát triển của giao thức Balancer thông qua các nỗ lực hợp tác, tiếp thị, tích hợp, thiết kế và vận hành con người để mở rộng giao thức Balancer.tỷ lệ chấp nhận toàn cầu. Vào tháng 8 năm ngoái, Orb Collective đã chính thức ra mắt và nhóm tuyên bố rằng chiến lược quảng cáo mới cũng sẽ sử dụng "âm thanh gốc được mã hóa của Twitter".
Điều đáng chú ý là vào tháng 4 năm nay, Balancer Governance đã cập nhật kế hoạch tài chính của Orb Collective trong đề xuất gia hạn hợp đồng kiểm toán hợp đồng thông minh của Certora, bắt đầu từ quý 2 năm 2023, với mục đích phân bổ từ ngân sách của Orb Collective cho OpCo. sự an toàn cho tiền của người dùng Balancer. Tuy nhiên, gần 80% thành viên cộng đồng Balancer DAO đã từ chối đề xuất của Balancer OpCo Limited về việc tiến hành kiểm tra hợp đồng thông minh, đây là đề xuất duy nhất bị từ chối trong số bảy đề xuất.
Trong cùng tháng, Coindesk đã xuất bản một bài báo có tiêu đề “DeFi Protocol Balancer cắt giảm ngân sách và số lượng nhân viên khi chiến lược thay đổi”, nói rằng Balancer sẽ thực hiện các điều chỉnh chiến lược. Theo bài báo, nhóm Balancer OpCo đã tiết lộ trong một cuộc gọi Discord có hơn 20 người tham dự vào tháng 4 năm nay rằng công ty đã sa thải hai kỹ sư và giảm ngân sách hoạt động.
Jeremy Musighi, Giám đốc điều hành của Orb Collective cho biết: “Chúng tôi có một tầm nhìn mới cho thương hiệu Balancer mà chúng tôi rất hào hứng. Đồng thời, chúng tôi đã thực hiện một số thay đổi đối với nhóm tiếp thị của mình để đảm bảo chúng tôi có đúng người.” Để thực hiện tầm nhìn mới này." Vào quý 3 năm 2022, nhóm Orb đã nộp đơn xin cấp ngân sách hoạt động là 76.000 USD với hy vọng mở rộng tiếng nói của Balancer trên các nền tảng xã hội, podcast, duy trì mối quan hệ cộng đồng, v.v. Trong quý 4, đề xuất yêu cầu ngân sách cho biết do chu kỳ thị trường giá xuống, ngân sách hoạt động của nhóm Orb chỉ còn 48.000 USD, giảm gần 50%.
Đồng thời, nhóm tuyên bố rằng việc này nhằm cải tổ chiến lược thương hiệu và sẽ chuyển trọng tâm sang cải thiện giao diện người dùng và hoạt động tiếp thị trong tương lai. Khi tin tức này được công bố, Balancer phải đối mặt với một số áp lực thị trường, có lẽ chính việc sa thải nhân viên front-end đã tạo cơ hội cho những kẻ tấn công tìm ra cách khác.
Lần này giao diện người dùng của Balancer đã bị tấn công và rất khó để không kết nối nó với sự thất bại của đề xuất kiểm toán hợp đồng thông minh và việc sa thải nhân viên giao diện người dùng. Có thể sự thay đổi chiến lược là sai và chu kỳ thị trường giá xuống là đúng khi nguồn vốn thắt chặt, tăng doanh thu và giảm chi tiêu.
Nỗi lo tiềm ẩn của front-end tập trung
Ngoài các lý do nội bộ trong nhóm Balancer, cuộc tấn công này còn khiến cộng đồng lo ngại về giao thức DeFi tập trung.
Trong lịch sử phát triển DeFi hiếm khi xảy ra sự cố tổn thất do các cuộc tấn công từ phía trước, vào tháng 12 năm 2021, một loạt mã độc đã được tiêm vào mã phía trước của trang web của tổ chức phi tập trung Badger DAO. Những kẻ tấn công có thể làm được điều đó điều này mà người dùng không biết. Nếu cần, hãy xác nhận giao dịch và chuyển mã thông báo. Vào tháng 5 năm 2022, DEX MM.Finance sinh thái Cronos đã phải hứng chịu một cuộc tấn công từ phía trước và tin tặc đã sử dụng các lỗ hổng DNS để đánh cắp tài sản trị giá hơn 2 triệu USD từ người dùng.
Lần cuối cùng giao diện người dùng phi tập trung được thảo luận trên quy mô lớn là do Tornado Cash bị xử phạt và giao diện người dùng bị cấm. Nhưng ngày nay mặt trước cũng chịu áp lực về an ninh. Một số người cho rằng ENS có thể là giải pháp cho các cuộc tấn công front-end, nhưng độ phân giải tên miền ENS là “tập trung” nên việc sử dụng nó để chống lại “các cuộc tấn công phi tập trung” là không thực tế lắm.
Mặc dù các hợp đồng DeFi không thể bị giả mạo hoặc rút lại sau khi triển khai và về mặt lý thuyết sẽ không chịu sự can thiệp của con người, nhưng phần lớn giao diện người dùng vẫn được triển khai thông qua kiến trúc truyền thống. dịch vụ mạng và máy chủ Có rất nhiều mối đe dọa tiềm ẩn trong các dịch vụ lưu trữ, v.v. Đồng thời, các cuộc tấn công vào giao diện người dùng thường dễ bị các nhà phát triển bỏ qua.
Balancer, DeFi OG, hiện cũng đang bị tấn công từ giao diện người dùng. Do đó, có nhiều tiếng nói trong cộng đồng kêu gọi xây dựng một giao diện người dùng phi tập trung. Tuy nhiên, những tiếng nói như vậy không có quá nhiều, so với sức nóng do lệnh cấm front-end của Uniswap và Tornado Cash gây ra, những gì người dùng bình thường chúng ta cần làm để hack front-end hiện nay vẫn cần tiếp tục được khám phá bởi ngành công nghiệp mã hóa.