Balancer Açığı: Küçük Bir Yuvarlama Hatası Nasıl 120 Milyon Dolarlık Bir DeFi İhlaline Neden Oldu

Balancer, DeFi'deki en eski ve en saygı duyulan merkeziyetsiz borsa (DEX)lerden biri, 3 Kasım 2025'te V2 protokolünden ve çatallı sürümlerinden 120 milyon dolardan fazla paranın sızdırılmasına neden olan ciddi bir istismarla karşılaştı.

Veri ihlali, protokolün akıllı sözleşme kodunun derinliklerinde gizlenmiş ufak bir aritmetik yuvarlama hatasından kaynaklandı.

Sorun önemsiz gibi görünse de, saldırganların token bakiyelerini manipüle etmelerine ve çoklu blok zincirleri boyunca likidite havuzlarını boşaltmalarına yetecek kadar önemliydi.

Bu olay, yalnızca DeFi güvenine olan güveni sarsmakla kalmadı, aynı zamanda akıllı sözleşmeler için denetim ve test standartlarının güvenilirliği hakkında tartışmalara da yol açtı.

Balansör Sömürüsü Nasıl Gelişti

Blockchain güvenlik firması SlowMist'e göre, bu güvenlik açığı, Balancer'ın Composable Stable Pools'undaki bir hassasiyet kaybı hatasından kaynaklandı. Bu havuzlar, USDC ve USDT gibi neredeyse eşit varlık çiftlerini desteklemek için tasarlanmıştı ve bu çiftler kesin aritmetiğe dayanmaktadır.

Saldırganlar, Balancer'ın token takasları için ölçekleme faktörlerini hesaplama şeklinde meydana gelen küçük bir yuvarlama hatasından yararlandığında istismar başladı.

Saldırgan önce Balancer Havuz Token'larını likidite token'ları ile değiştirerek mevcut likiditeyi azalttı ve token oranlarını çarpıtmalarını kolaylaştırdı. Daha sonra osETH ve WETH gibi token'ları içeren hızlı bir ticaret serisi gerçekleştirdi.

Her ticaret küçük bir aritmetik yuvarlama farkı üretti ve bu varyasyonlar minimum olmasına rağmen, yüzlerce işlemin birikmesiyle toplandı.

Balancer’ın birden fazla takasın tek bir işlemde gerçekleştirilmesine olanak tanıyan toplu takas fonksiyonunu kullanarak, saldırgan bu küçük farklılıkları hızla artırabilirdi. Zamanla, bu durum protokolün borçlu olunan miktardan daha yüksek bir token çıktısı hesaplamasına neden oldu ve saldırgana yapay bir kar sağladı.

Yeterli avantaj elde ettikten sonra, saldırgan önceki işlemleri tersine çevirerek zincir üzerindeki verilerin normal görünmesini sağladı ve manipülasyonu gizledi.

Blockchain analizi, çalınan fonların kaynağını gizlemek için Tornado Cash aracılığıyla hareket ettirildiğini, ardından Arbitrum, Polygon, Base, Avalanche ve Optimism dahil olmak üzere birden fazla ağ üzerinden yönlendirildiğini ortaya koydu.

Son kayıplar adli ekipler tarafından yaklaşık 116 milyon dolar olarak tahmin edildi. Balancer'ın acil müdahale ekibi yeni havuzları durdurdu, ancak güvenlik kilitleri olmayan eski havuzlar savunmasız kalmaya devam etti ve bu da önemli finansal zarara yol açtı.

Ayrıca okuyun: DOGE'de %15 Kazanın: Bitrue Power Piggy Rehberi

Breach'in DeFi'nin Zayıflıkları Hakkında Açıkladıkları

Balancer istismarı, DeFi'deki kritik bir zayıflığı ortaya çıkardı: iyi denetlenmiş protokoller bile matematiksel hassasiyet hatalarına karşı bağışık değildir.

Balancer, daha önce OpenZeppelin, Trail of Bits ve Certora gibi önde gelen firmalar tarafından ondan fazla denetimden geçti. Bu incelemelere rağmen, toplu değişim sırasında token değerlerini dönüştüren "upscale" olarak bilinen bir işlevde hata devam etti.

Sorun, tam sayı aritmetiğinin kesirli değerleri nasıl yuvarladığından kaynaklanıyordu; bu, ticaret yapanların likidite havuzlarına göre hafif bir avantaj sağlamaktaydı. Bu küçük avantaj, belirteçleri haksız bir şekilde elde etmek için sonsuz bir şekilde tekrarlanabilirdi.

Olayı daha da endişe verici kılan, Balancer'ın iki yıl önce benzer bir yuvarlama problemi yaşamasıydı; ancak o versiyon çok daha küçük kayıplara neden olmuştu.

Tekrar, DeFi gelişiminde aritmetik hassasiyetin göz ardı edilen bir alan olduğunu öne sürdü.

Akıllı sözleşmeler genellikle karşılıklı bağımlı hesaplamalara dayanır ve tek bir yuvarlama hatası binlerce işlem boyunca büyüyebilir.

Saldırıdan sonra, Balancer'ın toplam kilitli değeri keskin bir şekilde düştü. DeFiLlama'dan alınan verilere göre, TVL'si 24 saat içinde 442 milyon dolardan 214 milyon dolara düştü ve daha sonra 190 milyon doların altına indi.

Likidite sağlayıcıları, daha fazla suistimal korkusuyla fonlarını çekmekte acele ettiler. Bunun üzerine, Balancer yeni Composable Stable Pools'un oluşturulmasını devre dışı bıraktı, etkilenen ölçüm birimlerinden emisyonları durdurdu ve kullanıcıların varlıklarını güvenli bir şekilde geri alabilmeleri için bir kurtarma çekim modunu etkinleştirdi.

Sanayi ortakları StakeWise DAO ve Berachain Vakfı, kurtarma sürecine katkıda bulundu.

StakeWise, yaklaşık 19 milyon dolar değerinde osETH'yi geri almayı başardı, Berachain ise çalınan fonlardan 12 milyon doları dondurdu. Gnosis ve Monerium da yaklaşık 1.3 milyon € değeri olan EURe stabilleri dondurdu.

Bu çabalara rağmen, fonların çoğu geri alınamadı, çünkü saldırgan varlıkları ETH'ye dönüştürdü ve bunları birden fazla cüzdana dağıttı.

Balancer'ın Müzakere ve Sektör Yanıtı

Beklenmedik bir gelişme olarak, Balancer Labs, istismardan sadece beş gün sonra, 8 Kasım 2025'te hacker ile müzakerelere başladı.

Protokolün geliştiricileri, çalınan fonların iadesi karşılığında saldırgana bir ödül öneren bir zincir içi mesaj gönderdi. Hakerin ertesi güne kadar işbirliği yapması durumunda, herhangi bir yasal veya soruşturma işleminin başlatılmayacağına dair güvence verdiler.

Ancak, eğer saldırgan reddederse, Balancer durumu zincir içi adli tıp ve potansiyel yasal kanallar aracılığıyla yükseltmeyi vaat etti.

Bu hamle, Balancer'ın cezalandırma yerine fon kurtarmayı önceliklendirme isteğini gösterdi; bu strateji, önceki DeFi hack'lerinde etkili olduğunu kanıtladı.

Benzer yaklaşımlar, Beanstalk gibi projelerin kaybedilen varlıkları kurtarmalarına yardımcı oldu ve müzakerelerin bazen barışçıl çözümlere yol açabileceğini gösterdi. Balancer ayrıca, bilgisayar korsanını tanımlamaya yardımcı olan ihbarcıların tazminat alacaklarını duyurdu.

Protokolün “savaş odası” yanıtı, kalan çalınan fonları izlemek için siber güvenlik firmaları ve blok zinciri araştırmacılarıyla yakın iş birliği yapmayı içeriyordu.

Hypernative’in otomatik olarak saldırı sırasında yeni havuzları durdurmuş olan izleme sistemi, daha büyük kayıpların önlenmesinde katkıda bulundu.

Bu olay, DeFi sektöründe daha iyi denetim, hassas işlem yönetimi ve gerçek zamanlı izleme sistemlerine duyulan ihtiyacı yeniden gündeme getirdi.

Uzmanlar, gelecekte benzer aritmetik tabanlı istismarların önlenmesi için aşırı stres testlerini, simüle edilmiş saldırıları ve zincir üzerindeki anomali tespiti içeren yeni standartlar çağrısında bulundular.

Bu arada, daha geniş kripto piyasası nispeten stabil kaldı. çalınan likiditenin büyük bir kısmına ev sahipliği yapan Ethereum, yaklaşık 3,434 $ seviyelerinde işlem gördü ve piyasa kapitalizasyonu 414 milyar $'ın üzerinde oldu. Analistler, açığın hızlı bir şekilde kontrol altına alınmasının daha geniş piyasa paniklerini önlemeye yardımcı olduğunu belirtti.

Ayrıca okuyun: USDT'de Kilitleme Olmadan Nasıl %8 Kazanılır

Sonuç

November 2025'teki Balancer açığı, yılın en büyük ve teknik olarak en karmaşık DeFi ihlallerinden biri olarak öne çıkıyor. Tek bir aritmetik yuvarlama hatası, birden fazla ağda 120 milyon dolardan fazla kayba neden oldu.

Balancer ve ortakları çalınan varlıkların bir kısmını kurtarmış olsalar da, saldırı DeFi protokollerinde, özellikle matematiksel hassasiyet ve çok zincirli güvenlik ile ilgili derin zayıflıkları ortaya çıkardı.

Tüccarlar daha güvenli ve daha güvenilir bir deneyim arıyorsa,Bitrue<p> güvenli bir platform sunar; kripto varlıkların alım, satım ve depolanması için. Güçlü güvenlik yapısı, kullanıcı dostu tasarımı ve sürekli şeffaflığı, dijital varlıkları güvenli bir şekilde yönetmek için en güvenilir borsalardan biri haline getirir.</p>

Sıkça Sorulan Sorular

Balancer istismarına ne sebep oldu?

Sömürü, Balancer'ın akıllı sözleşmelerinde kullanılan aritmetikteki küçük bir yuvarlama hatasından kaynaklandı; bu da saldırganların token dengelerini manipüle etmesine ve likidite havuzlarını boşaltmasına izin verdi.

Balancer istismarında ne kadar çalındı?

Toplam kaybın, Ethereum, Base, Arbitrum ve Polygon gibi birden fazla ağda yaklaşık 120 milyon dolar civarında olduğu tahmin ediliyor.

Balancer herhangi bir fonu kurtarabilir miydi?

Evet, StakeWise DAO, Berachain ve Gnosis'in yer aldığı işbirlikçi çabalarla bazı fonlar geri alındı, ancak çoğunluğu geri alınmamış durumda.

Balancer, hackera ulaştı mı?

Evet, Balancer, çalınan varlıkların iade edilmesi karşılığında yasal sonuçlarla karşılaşmadan hacker'a bir ödül teklif eden bir zincir içi mesaj gönderdi.

Tüccarlar kripto para birimlerini benzer istismarların etkilerinden nasıl koruyabilir?

Güvenli ve düzenlenmiş platformlar kullanarak, such asBitrue

Sizin kripto varlıklarınızın güvenliğini sağlamak için en iyi yöntemlerden biridir. Bitrue, güçlü güvenlik önlemleri uygular ve tüm kullanıcılar için şeffaf bir ticaret ortamı sunar.

Yatırımcı Dikkati

Kripto heyecanı heyecan verici olsa da, kripto alanının dalgalı olabileceğini unutmayın. Her zaman araştırmanızı yapın, risk toleransınızı değerlendirin ve herhangi bir yatırımın uzun vadeli potansiyelini dikkate alın.

Bitrue Resmi Web Sitesi:

Web sitesi:https://www.bitrue.com/

Kayıt Ol:https://www.bitrue.com/user/register

Açıklama: İfade edilen görüşler tamamen yazara aittir ve bu platformun görüşlerini yansıtmaz. Bu platform ve bağlı kuruluşları, sağlanan bilgilerin doğruluğu veya uygunluğu konusunda herhangi bir sorumluluk kabul etmemektedir. Sadece bilgilendirme amaçlıdır ve finansal veya yatırım tavsiyesi olarak düşünülmemelidir.