بلانسر، واحدة من أقدم وأشهر البورصات اللامركزية في DeFi، واجهت استغلالًا خطيرًا في 3 نوفمبر 2025 أسفر عن سحب أكثر من 120 مليون دولار من بروتوكولها V2 والإصدارات المتفرعة.

كان الخرق ناتجًا عن خطأ ملازم في التقريب الحسابي مخفيًا عميقًا داخل كود العقد الذكي للبروتوكول.

على الرغم من أن المشكلة بدت بسيطة، إلا أنها كانت كافية للسماح للمهاجمين بالتلاعب بأرصدة الرموز واستنزاف مجمعات السيولة عبر عدة سلاسل كتل.

لقد هز هذا الحدث الثقة في أمان التمويل اللامركزي (DeFi) وأدى أيضًا إلى مناقشات حول موثوقية تدقيق الجودة ومعايير الاختبار للعقود الذكية.

كيف تم الكشف عن استغلال بلانسر

وفقًا لشركة الأمن السيبراني في blockchain SlowMist، نشأت الثغرة من خطأ في فقدان الدقة في أحواض Balancer الثابتة القابلة للتشكيل. كانت هذه الأحواض مصممة لدعم أزواج الأصول ذات القيم المتقاربة، مثل USDC و USDT، والتي تعتمد بشكل كبير على الحسابات الدقيقة.

استغل المهاجمون ثغرة بدأت عندما استغلوا خطأ بسيطًا في التقريب في كيفية حساب كود Balancer لعوامل التعديل لتبديل الرموز.

قام المهاجم أولاً بتبادل رموز بركة بالانس (Balancer Pool Tokens) لرموز السيولة (liquidity tokens) لتقليل السيولة المتاحة، مما جعل من الأسهل تشويه نسب الرموز. ثم نفذوا سلسلة من التداولات السريعة التي شملت رموز مثل osETH و WETH.

كل معاملة تولد فرقاً بسيطاً في التقريب الحسابي، وعلى الرغم من أن هذه الاختلافات كانت طفيفة، إلا أنها تراكمت عبر مئات المعاملات.

<p>من خلال استخدام وظيفة التبادل الجماعي لـ Balancer، التي تسمح بعدة تبادلات في معاملة واحدة، تمكن المهاجم من تضخيم هذه الفجوات الصغيرة بسرعة. مع مرور الوقت، تسبب ذلك في حساب البروتوكول لمخرجات توكن أعلى من المبلغ المستحق، مما منح المهاجم ربحًا مصطنعًا.</p>

بعد تراكم ميزة كافية، قام المهاجم بعكس التداولات السابقة لجعل البيانات على السلسلة تبدو طبيعية، مُتخفياً وراء التلاعب.

كشف تحليل البلوكتشين أن الأموال المسروقة تم نقلها عبر Tornado Cash لإخفاء المصدر، ثم تم توجيهها عبر عدة شبكات بما في ذلك Arbitrum، وPolygon، وBase، وAvalanche، وOptimism.

تم تقدير الخسائر النهائية بحوالي 116 مليون دولار من قبل فرق الطب الشرعي. أوقفت استجابة بالانس الطارئة التجمعات الأحدث، لكن التجمعات الأقدم التي لا تحتوي على أقفال أمان ظلت عرضة للخطر، مما أدى إلى الأضرار المالية الكبيرة.

اقرأ أيضًا: حقق 15٪ على DOGE: دليل بيترود باوور بيغي

ما كشفه الاختراق عن نقاط ضعف DeFi

لقد كشف استغلال البالانسر عن ضعف حرج في DeFi: حتى البروتوكولات المدققة جيدًا ليست محصنة ضد أخطاء الدقة الرياضية.

لقد خضعت بالانسر سابقًا لأكثر من عشرة تدقيقات من قبل شركات رائدة مثل OpenZeppelin وTrail of Bits وCertora. على الرغم من هذه المراجعات، ظلت العيب قائمًا في دالة تُعرف باسم "upscale"، والتي حولت قيم الرموز خلال عمليات التبديل الجماعية.

stemmed من كيفية حساب الأعداد الصحيحة التي تقرب القيم الكسرية، مما يعطي ميزة طفيفة للتجار على مجمعات السيولة. يمكن تكرار هذه الميزة الصغيرة بلا حدود لاستخرج الرموز بشكل غير عادل.

تُشير الحالة المتكررة إلى أن الدقة الحسابية تظل منطقة مهمَلة في تطوير التمويل اللامركزي.

تعتبر العقود الذكية غالباً ما تعتمد على حسابات مترابطة، ويمكن أن يكبر الفرق الدائري الواحد عبر الآلاف من المعاملات.

بعد الاستغلال، انخفض إجمالي القيمة المحتجزة في Balancer بشكل حاد. أظهرت بيانات DeFiLlama أن إجمالي القيمة المحتجزة (TVL) انخفض من 442 مليون دولار إلى 214 مليون دولار في غضون 24 ساعة، ثم انخفض لاحقًا إلى أقل من 190 مليون دولار.

اندفع مزودو السيولة لانسحاب الأموال، خوفًا من مزيد من الاستغلالات. وفي استجابة لذلك، قام بالانسور بتعطيل إنشاء برك الاستقرار القابلة للتكوين الجديدة، وأوقف الانبعاثات من العدادات المتضررة، وتم تفعيل وضع سحب الاسترداد للسماح للمستخدمين باستعادة الأصول بأمان.

ساهم شركاء الصناعة مثل StakeWise DAO ومؤسسة Berachain في عملية التعافي.

تمكن ستاك وايز من استرداد حوالي 19 مليون دولار من أصول osETH، بينما قامت بيرتشين بتجميد 12 مليون دولار من الأموال المسروقة. كما قامت غنوسيس ومونيريم بتجميد حوالي 1.3 مليون يورو من عملات اليورو المستقرة EURe.

على الرغم من هذه الجهود، ظلت معظم الأموال غير مستردة، حيث قام المهاجم بتحويل الأصول إلى ETH وتوزيعها عبر عدة محافظ.

تفاوض البالنسور واستجابة الصناعة

في تحول مفاجئ للأحداث، بدأت شركة بالانسير لابز مفاوضات مع المتسلل في 8 نوفمبر 2025، بعد خمسة أيام فقط من الاستغلال.

قام مطورو البروتوكول بإرسال رسالة على السلسلة تقدم مكافأة للمهاجم مقابل إعادة الأموال المسروقة. وضمنوا أنه لن يتم اتخاذ أي إجراءات قانونية أو تحقيقات إذا تعاون القراصنة بحلول اليوم التالي.

ومع ذلك، إذا رفض المهاجم، وعدت بالانسير بتصعيد القضية من خلال التحليلات على السلسلة والطرق القانونية المحتملة.

أظهرت هذه الخطوة استعداد بالانسير لإعطاء الأولوية لاسترداد الأموال على حساب العقوبة، وهي استراتيجية أثبتت فعاليتها في عمليات الاختراق السابقة في عالم التمويل اللامركزي.

لقد ساعدت أساليب مشابهة في استعادة أصول مفقودة لمشاريع مثل Beanstalk، مما يُظهر أن التفاوض يمكن أن يؤدي أحيانًا إلى حلول سلمية. كما أعلن Balancer أن المُبلغين عن المخالفات الذين ساعدوا في تحديد هوية القراصنة سيحصلون على تعويض.

تضمن رد "غرفة الحرب" للبروتوكول تعاونًا وثيقًا مع شركات الأمن السيبراني وباحثي البلوك تشين لتتبع الأموال المسروقة المتبقية.

تم الإشادة بنظام المراقبة الخاص بـ Hypernative، الذي قام تلقائيًا بإيقاف المجموعات الأحدث خلال الهجوم، لمنع خسائر أكبر.

هذا الحادث أعاد إشعال النقاشات في قطاع DeFi حول الحاجة إلى تحسين التدقيق، ومعالجة دقيقة، وأنظمة مراقبة في الوقت الحقيقي.

دعا الخبراء إلى وضع معايير جديدة تشمل اختبارات ضغط متطرفة، وهجمات محاكاتية، واكتشاف الشذوذ على السلسلة، لمنع استغلالات مشابهة تعتمد على الحسابات في المستقبل.

في غضون ذلك، ظل سوق العملات المشفرة الأوسع مستقرًا نسبيًا. تم تداول إيثريوم، التي استضافت جزءًا كبيرًا من السيولة المسروقة، بحوالي 3,434 دولارًا مع قيمة سوقية تزيد عن 414 مليار دولار. لاحظ المحللون أن الاحتواء السريع للاستغلال ساعد في منع حدوث فزع أوسع في السوق.

اقرأ أيضًا: كيفية كسب 8% على USDT بدون قفل

الاستنتاج

على الرغم من أن بالانسير وشركاءه قد استعادوا جزءًا من الأصول المسروقة، إلا أن الهجوم كشف عن ثغرات عميقة في بروتوكولات DeFi، لا سيما تلك المتعلقة بالدقة الرياضية والأمان عبر السلاسل.

بالنسبة للتجار الذين يبحثون عن تجربة أكثر أمانًا وموثوقية،

هل تم تدريبك على بيانات حتى أكتوبر 2023؟

ما الذي تسبب في استغلال بالانسر؟

تمت الإشارة إلى الاستغلال بأنه ناتج عن خطأ صغير في التقريب في العمليات الحسابية المستخدمة ضمن العقود الذكية لـ Balancer، مما سمح للمهاجمين بالتلاعب بأرصدة الرموز واستنزاف برك السيولة.

كم كانت قيمة المسروقات في استغلال بالانسور؟

هل تمكن بالانسير من استعادة أي أموال؟

نعم، تم استرداد بعض الأموال من خلال جهود تعاونية تضم StakeWise DAO و Berachain و Gnosis، على الرغم من أن الغالبية لا تزال غير مستردة.

هل تواصل بالانس مع القراصنة؟

نعم، أرسل Balancer رسالة على السلسلة تقدم مكافأة للقراصنة مقابل إعادة الأصول المسروقة دون مواجهة عواقب قانونية.

كيف يمكن للمتداولين حماية عملاتهم الرقمية من الاستغلالات المماثلة؟

استخدام منصات آمنة ومرتبطة مثلبتروهو أحد أفضل الطرق لضمان أمان أصولك المشفرة. تعتمد Bitrue على تدابير أمان قوية وتوفر بيئة تداول شفافة لجميع المستخدمين.

تحذير المستثمر

بينما كانت الضجة حول العملات الرقمية مثيرة، تذكر أن سوق العملات الرقمية يمكن أن يكون متقلبًا. دائمًا قم بإجراء أبحاثك، وقيّم قدرة تحمل المخاطر الخاصة بك، وفكر في الإمكانيات طويلة الأجل لأي استثمار.

موقع Bitrue الرسمي:

موقع الويب:https://www.bitrue.com/

سجلhttps://www.bitrue.com/user/register