作者:蔣海波,PANews
在Curve被盜數千萬美元之後,另一個老牌DEX Balancer也於8月22日表示多個V2池面臨嚴重漏洞,建議用戶立即撤回受影響的資金。與其它項目的漏洞不同,Balancer本次並沒有發生資金被盜,且團隊的處理方法獲得一致好評,本文PANews將整理复盤此次事件Balancer團隊的處理流程、影響和值得學習的地方。
漏洞事件回顧及處理流程
8月22日,Balancer團隊的Jeff Bennett在Balancer論壇中發布了《在一些流動性池中發現漏洞》的文章,其中提到Balancer Labs收到了一份關於影響多個資金池的嚴重漏洞的報告,文中的要點如下:
- 沒有發生資金被盜。
- 在此之前,團隊已處理80%以上的漏洞。
- 剩餘面臨風險的資金僅佔Balancer TVL的4%。
- Emergency SubDAO已採取行動,允許資金按比例退出,禁用了有問題的資金池。
- 將有漏洞的資金池進行標記,其中已處理的標記為“已應對”,建議提取資金或遷移到安全的流動性池;無法處理的標記為“有風險”,提醒流動性提供者盡快退出。
- 提供了個性化的頁面,連接錢包即可查看自己是否有資金在發現漏洞的流動性池中,頁面上詳細的說明了退出的操作步驟。
看到這裡,即使用戶有資金在Balancer中,也不用太擔心。團隊首先穩住了大家的信心,告訴大家已經完成了大部分的工作,剩餘處於風險中的資金僅佔TVL的4%,還沒有資金被盜。
在推特上,Balancer也說明了漏洞情況,將該推特置頂,並在下面持續對處理進展進行更新。推特中提供了直接退出的鏈接和論壇文章鏈接。 8月23日,該推特下又引用處理進展的更新,處於風險的資金分別降至TVL的1.4%和0.89%,在第二次更新時,97%最初被認為有漏洞的流動性資金都已安全。
在GitHub上,Balancer按區塊鏈區塊鏈分類,列出了所有受影響的區塊鏈中的資金池,並按“有風險”和“低流動性”進行了分類。其中,以太坊主網、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom、zkEVM上均有受影響的資金池,而未提到的Base上的資金是安全的。如下圖Optimism中有風險的流動性池所示,用戶在這裡也可以很方便的判斷自己的資金是否有風險。
在這裡也不得不特別說一下Balancer準備的退出頁面。雖然現在仍在進行流動性挖礦的用戶大多經驗豐富,但不可避免仍有少數用戶在操作中可能會出現錯誤,而此前出現類似問題的項目可能只會提供通過區塊鏈瀏覽器緊急退出的步驟。 Balancer的退出頁面在連接錢包的對應網絡後,首先會檢查用戶是否有資金處於有被禁用的流動性池中。在頁面上方清楚的介紹了需要的3個操作步驟:1、取消Balancer和Aura中質押的LP代幣;2、提取Balancer中的流動性;3、將封裝資產轉為基礎代幣。緊接著,在下方也會顯示處於每一步中的資金,方便用戶進行傻瓜式操作。
漏洞事件影響
從8月21日到8月25日,Balancer在各條鏈上的TVL從8.52億美元降至6.68億美元,下降21.6%。 TVL的下降發生在8月22日,後續兩天略有回升。同一時期,Uniswap和Curve的TVL並未出現下降。根據推特中提及的數據,當處於風險中的資金佔TVL的0.89%時,97%最初被認為有風險的資金已經安全,也就是0.89%的TVL約佔最初有風險的資金的3% ,那麼最初有風險的資金約佔TVL的30%。無論是仍有風險的還是已應對的,在得知消息後,都應在第一時間退出。從目前的數據看,未受影響的部分因恐慌離開的比例不高,但流動性確實有減少。
在治理代幣的價格表現上,BAL的價格從8月21日3.66美元的開盤價下跌至8月25日下午的3.45美元,下跌5.7%。值得注意的是,8月23日的收盤價甚至超過了8月22日的開盤價。 Balancer的競爭對手中,同期UNI的價格從4.9美元跌至4.59美元,下跌6.3%;CRV的價格從0.499美元跌至0.445美元,下跌10.8%。發生漏洞的Balancer的治理代幣反而比Uniswap和Curve跌幅更小,說明該漏洞並未影響BAL持有者的信心。
由於沒有資金被盜,且Balancer團隊解決問題的思路清晰,處理結果也深受好評,BAL的價格並未受到影響。至於撤出的流動性是否遷移到Balancer的其它流動性池,需要看Balancer的激勵措施。
有哪些值得學習的地方
1、漏洞賞金的重要性。根據團隊“Balancer收到漏洞報告”的說法,該漏洞可能不是Balancer團隊自己發現的。在有漏洞賞金的情況下,漏洞發現者有更強的意願提交漏洞獲得賞金,而不是利用漏洞。
2、漏洞的公開時間。在知道該漏洞的情況下,Balancer並未第一時間公開,而是默默做了很多工作。在公開時,80%以上的漏洞已處理,剩餘面臨風險的資金僅佔Balancer TVL的4%,用戶不會恐慌。
3、處理辦法及公開的信息。在上述提到的處理流程上,Balancer的思路非常清晰。當對外公開存在漏洞時,Balancer詳細的說明了有風險的資金比例、具體有哪些流動性池受影響、用戶連接錢包即可查看自己在對應的網絡中是否有資金處於風險中、提供了具體的退出步驟。而對於不應公開的信息,Balancer並未提及,如具體是什麼合約存在漏洞。這樣,即使有黑客知道Balancer存在漏洞,想要進行攻擊短時間內也不知從何處下手。
4、退出頁面。對於在Balancer上提供流動性的用戶,首先想要知道的是自己的資金是否受到影響,以及如何退出。 Balancer提供了一個傻瓜式操作的頁面,當用戶通過該頁面提取資金時,更容易感受到這背後有一個負責任且有能力處理問題的團隊。
