复盘Balancer漏洞事件处理:公开时仅4%资金有风险,哪些经验值得学习
作者:蒋海波,PANews
在Curve被盗数千万美元之后,另一个老牌DEX Balancer也于8月22日表示多个V2池面临严重漏洞,建议用户立即撤回受影响的资金。与其它项目的漏洞不同,Balancer本次并没有发生资金被盗,且团队的处理方法获得一致好评,本文PANews将整理复盘此次事件Balancer团队的处理流程、影响和值得学习的地方。
漏洞事件回顾及处理流程
8月22日,Balancer团队的Jeff Bennett在Balancer论坛中发布了,其中提到Balancer Labs收到了一份关于影响多个资金池的严重漏洞的报告,文中的要点如下:
- 没有发生资金被盗。
- 在此之前,团队已处理80%以上的漏洞。
- 剩余面临风险的资金仅占Balancer TVL的4%。
- Emergency SubDAO已采取行动,允许资金按比例退出,禁用了有问题的资金池。
- 将有漏洞的资金池进行标记,其中已处理的标记为“已应对”,建议提取资金或迁移到安全的流动性池;无法处理的标记为“有风险”,提醒流动性提供者尽快退出。
- 提供了个性化的页面,连接钱包即可查看自己是否有资金在发现漏洞的流动性池中,页面上详细的说明了退出的操作步骤。
看到这里,即使用户有资金在Balancer中,也不用太担心。团队首先稳住了大家的信心,告诉大家已经完成了大部分的工作,剩余处于风险中的资金仅占TVL的4%,还没有资金被盗。
在推特上,Balancer也说明了漏洞情况,将置顶,并在下面持续对处理进展进行更新。推特中提供了直接退出的链接和论坛文章链接。8月23日,该推特下又引用处理进展的更新,处于风险的资金分别降至TVL的1.4%和0.89%,在第二次更新时,97%最初被认为有漏洞的流动性资金都已安全。
在,Balancer按区块链区块链分类,列出了所有受影响的区块链中的资金池,并按“有风险”和“低流动性”进行了分类。其中,以太坊主网、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom、zkEVM上均有受影响的资金池,而未提到的Base上的资金是安全的。如下图Optimism中有风险的流动性池所示,用户在这里也可以很方便的判断自己的资金是否有风险。
在这里也不得不特别说一下Balancer准备的。虽然现在仍在进行流动性挖矿的用户大多经验丰富,但不可避免仍有少数用户在操作中可能会出现错误,而此前出现类似问题的项目可能只会提供通过区块链浏览器紧急退出的步骤。Balancer的退出页面在连接钱包的对应网络后,首先会检查用户是否有资金处于有被禁用的流动性池中。在页面上方清楚的介绍了需要的3个操作步骤:1、取消Balancer和Aura中质押的LP代币;2、提取Balancer中的流动性;3、将封装资产转为基础代币。紧接着,在下方也会显示处于每一步中的资金,方便用户进行傻瓜式操作。
漏洞事件影响
从8月21日到8月25日,Balancer在各条链上的TVL从8.52亿美元降至6.68亿美元,下降21.6%。TVL的下降发生在8月22日,后续两天略有回升。同一时期,Uniswap和Curve的TVL并未出现下降。根据推特中提及的数据,当处于风险中的资金占TVL的0.89%时,97%最初被认为有风险的资金已经安全,也就是0.89%的TVL约占最初有风险的资金的3%,那么最初有风险的资金约占TVL的30%。无论是仍有风险的还是已应对的,在得知消息后,都应在第一时间退出。从目前的数据看,未受影响的部分因恐慌离开的比例不高,但流动性确实有减少。
在治理代币的价格表现上,BAL的价格从8月21日3.66美元的开盘价下跌至8月25日下午的3.45美元,下跌5.7%。值得注意的是,8月23日的收盘价甚至超过了8月22日的开盘价。Balancer的竞争对手中,同期UNI的价格从4.9美元跌至4.59美元,下跌6.3%;CRV的价格从0.499美元跌至0.445美元,下跌10.8%。发生漏洞的Balancer的治理代币反而比Uniswap和Curve跌幅更小,说明该漏洞并未影响BAL持有者的信心。
由于没有资金被盗,且Balancer团队解决问题的思路清晰,处理结果也深受好评,BAL的价格并未受到影响。至于撤出的流动性是否迁移到Balancer的其它流动性池,需要看Balancer的激励措施。
有哪些值得学习的地方
1、漏洞赏金的重要性。根据团队“Balancer收到漏洞报告”的说法,该漏洞可能不是Balancer团队自己发现的。在有漏洞赏金的情况下,漏洞发现者有更强的意愿提交漏洞获得赏金,而不是利用漏洞。
2、漏洞的公开时间。在知道该漏洞的情况下,Balancer并未第一时间公开,而是默默做了很多工作。在公开时,80%以上的漏洞已处理,剩余面临风险的资金仅占Balancer TVL的4%,用户不会恐慌。
3、处理办法及公开的信息。在上述提到的处理流程上,Balancer的思路非常清晰。当对外公开存在漏洞时,Balancer详细的说明了有风险的资金比例、具体有哪些流动性池受影响、用户连接钱包即可查看自己在对应的网络中是否有资金处于风险中、提供了具体的退出步骤。而对于不应公开的信息,Balancer并未提及,如具体是什么合约存在漏洞。这样,即使有黑客知道Balancer存在漏洞,想要进行攻击短时间内也不知从何处下手。
4、退出页面。对于在Balancer上提供流动性的用户,首先想要知道的是自己的资金是否受到影响,以及如何退出。Balancer提供了一个傻瓜式操作的页面,当用户通过该页面提取资金时,更容易感受到这背后有一个负责任且有能力处理问题的团队。