طرح بالانسر برای بازپرداخت ۸ میلیون دلار وجوه

در پی یکی از بزرگترین رخنه‌های امنیتی سال در حوزه دیفای (DeFi)، پروتکل بالانسر (Balancer) گامی ملموس برای جبران خسارات وارده برداشته است. یک پیشنهاد جدید در انجمن حاکمیتی بالانسر، نقشه راه این پروتکل را برای مرحله بعدی تلاش‌های بازیابی ترسیم می‌کند. این طرح، برنامه بازپرداختی را تشریح می‌کند که طی آن حدود ۸ میلیون دلار از دارایی‌های نجات‌یافته به ارائه‌دهندگان نقدینگی (LPs) متأثر از اکسپلویت v2 بازگردانده خواهد شد. این پیشنهاد که در تاریخ ۲۷ نوامبر ارائه شد، اولین اقدام مشخص بالانسر برای تسویه ضررهای ناشی از حمله‌ای است که بیش از ۱۲۸ میلیون دلار را از طریق نقص "precision-loss" در ثابت استخر v2 این پروتکل در تاریخ ۳ نوامبر تخلیه کرد. این حمله هوشمندانه، با دستکاری موجودی توکن‌ها، حلقه‌ای از آربیتراژ سودآور ایجاد کرد که تنها در چند دقیقه باعث خالی شدن استخرهای نقدینگی در بلاکچین اتریوم و چندین شبکه لایه ۲ شد.

روش‌های بازیابی وجوه و پاداش برای کلاه‌سفیدها

بالانسر جزئیات چگونگی توزیع وجوه بازیابی‌شده توسط پاسخ‌دهندگان کلاه‌سفید (whitehat) و تیم‌های نجات داخلی را مشخص کرده است. بر اساس گزارش بالانسر (BAL)، مبلغ ۸ میلیون دلار از این وجوه پس از اکسپلویت، از طریق شبکه‌های مختلف تأمین و ایمن شد. علاوه بر این، مبلغ ۱۹.۷ میلیون دلار دیگر مربوط به توکن‌های osETH و osGNO به طور جداگانه توسط StakeWise در حال پردازش است؛ StakeWise مدت کوتاهی پس از حادثه، حدود ۱۹ میلیون دلار از osETH را بازیابی کرده بود. طرح پیشنهادی برای عاملان کلاه‌سفید که در طول حمله مداخله کرده و به بازیابی دارایی‌ها کمک کرده‌اند، پاداشی معادل ۱۰ درصد از ارزش دارایی‌هایی که نجات داده‌اند، در نظر گرفته است. این پاداش به صورت همان توکن‌هایی که بازگردانده‌اند، پرداخت خواهد شد.

قرارداد "Safe Harbor" بالانسر مستلزم تأیید کامل هویت، بررسی KYC (احراز هویت مشتری) و بررسی تحریم‌ها قبل از انجام پرداخت‌ها است. بنیاد بالانسر پیش‌تر مراحل انطباق را برای کلاه‌سفیدهای درگیر تکمیل کرده است، هرچند که هویت آن‌ها محرمانه باقی خواهد ماند. این رویکرد، ضمن قدردانی از تلاش‌های امنیتی، حریم خصوصی این افراد را نیز حفظ می‌کند و نشان‌دهنده تعهد بالانسر به پروتکل‌های امنیتی در فضای وب۳ است.

مدیریت وجوه بازیابی‌شده داخلی و توزیع به ارائه‌دهندگان نقدینگی (LPs)

پیشنهاد بالانسر همچنین به نحوه برخورد با وجوه بازیابی‌شده داخلی، که با هماهنگی Certora تأمین شده‌اند، می‌پردازد. از آنجایی که Certora تحت یک توافق‌نامه خدمات جاری عمل کرده است، این بازیابی‌ها در چارچوب برنامه پاداش کلاه‌سفیدها قرار نمی‌گیرند. در عوض، این توکن‌ها مستقیماً به استخرهای نقدینگی آسیب‌دیده بازگردانده می‌شوند. این تمایز نشان‌دهنده تفاوت ماهیت همکاری و خدمات ارائه‌شده است و درک روشنی از نحوه مدیریت انواع مختلف بازیابی‌ها ارائه می‌دهد.

ارائه‌دهندگان نقدینگی (LPs) بازپرداخت‌ها را بر اساس سهم نسبی (pro-rata basis) خود دریافت خواهند کرد، که متناسب با میزان نگهداری BPT (توکن‌های استخر بالانسر) آن‌ها در بلوک‌های اسنپ‌شات (snapshot blocks) ثبت‌شده درست قبل از اولین تراکنش‌های اکسپلویت در هر شبکه خواهد بود. نکته مهم این است که این توزیع "غیر اجتماعی" (non-socialized) خواهد بود، به این معنی که دارایی‌های بازیابی‌شده هر استخر فقط به ارائه‌دهندگان نقدینگی همان استخر تعلق می‌گیرد. پرداخت‌ها همچنین "به صورت جنسی" (in-kind) انجام می‌شود، یعنی کاربران همان توکن‌هایی را که نجات یافته‌اند، دریافت خواهند کرد. این رویکرد، عدالت را در بازپرداخت تضمین می‌کند و از توزیع غیرمتوازن دارایی‌ها جلوگیری می‌نماید و اعتماد را در اکوسیستم دیفای تقویت می‌کند.

فرآیند مطالبه، امنیت و آینده حاکمیت پروتکل

برای سهولت در فرآیند بازپرداخت، یک رابط کاربری مطالبه (claim interface) ساخته خواهد شد. کاربران برای دریافت وجوه خود باید با شرایط و ضوابط بالانسر موافقت کنند. این یک گام مهم برای اطمینان از شفافیت و انطباق با مقررات است و به کاربران کمک می‌کند تا در یک چارچوب مشخص به دارایی‌های خود دسترسی پیدا کنند. هر دارایی مطالبه‌نشده پس از بسته شدن پنجره مطالبه، از طریق یک رأی حاکمیتی بعدی دوباره هدایت خواهد شد، که این امر انعطاف‌پذیری پروتکل را در مدیریت منابع و اهمیت مشارکت جامعه در تصمیم‌گیری‌های آینده را نشان می‌دهد.

این حمله که در تاریخ ۳ نوامبر رخ داد، یک یادآوری تلخ از آسیب‌پذیری‌ها در اکوسیستم دیفای و اهمیت امنیت در فضای وب۳ بود. با این حال، واکنش هماهنگ کلاه‌سفیدها و مداخلات در سطح پروتکل، از ضررهای عمیق‌تر جلوگیری کرد و بالانسر نیز بلافاصله استخرهای آسیب‌دیده را متوقف کرد تا از آسیب بیشتر جلوگیری کند. برنامه جدید بازپرداخت در حال حاضر در حال بررسی جامعه است و زمینه را برای رأی حاکمیتی بعدی فراهم می‌کند، در حالی که بالانسر تلاش می‌کند تا یکی از مخرب‌ترین فصول سال ۲۰۲۵ خود را به سرانجام برساند. این اقدامات نه تنها به حفظ اعتماد کاربران کمک می‌کند، بلکه درس‌های ارزشمندی را برای بهبود پروتکل‌ها و افزایش امنیت در کل اکوسیستم کریپتو به ارمغان می‌آورد و اهمیت هوشیاری در برابر فیشینگ و سایر تهدیدات امنیتی را بیش از پیش نمایان می‌سازد.

پاداش هکرهای کلاه سفید و بازگشت وجوه داخلی

در پی یکی از بزرگترین حوادث امنیتی در فضای مالی غیرمتمرکز (دیفای) در سال جاری، پروتکل بالانسر (Balancer) گامی مشخص و حیاتی برای جبران خسارات وارده برداشته است. پیشنهاد جدیدی که در فروم حاکمیتی بالانسر مطرح شده، نقشه راهی جامع را برای مرحله بعدی بازیابی دارایی‌ها ترسیم می‌کند. این طرح بازپرداخت، شامل بازگرداندن تقریباً ۸ میلیون دلار دارایی نجات‌یافته به ارائه‌دهندگان نقدینگی (LPs) است که طی اکسپلویت نسخه ۲ پروتکل متأثر شده بودند. این پروپوزال که در ۲۷ نوامبر ارائه شد، اولین اقدام عملی بالانسر برای تسویه ضرر و زیان پس از حمله سوم نوامبر به شمار می‌رود. هدف اصلی این بخش، روشن ساختن جزئیات مربوط به نحوه توزیع وجوه بازیابی‌شده توسط هکرهای کلاه سفید (Whitehat) و تیم‌های نجات داخلی است که نشان‌دهنده تعهد بالانسر به شفافیت و جبران خسارت به جامعه خود است.

نقش هکرهای کلاه سفید و فرآیند پاداش‌دهی

هکرهای کلاه سفید، که به عنوان بازیگران اخلاقی در فضای وب۳ و امنیت بلاکچین شناخته می‌شوند، نقش محوری در کاهش خسارات اکسپلویت بالانسر ایفا کردند. این افراد با دخالت به‌موقع خود، بخش قابل توجهی از دارایی‌ها را از خطر سرقت کامل نجات دادند. بر اساس طرح جدید بالانسر، به هکرهای کلاه سفیدی که در طول حمله مداخله کرده و در بازیابی دارایی‌ها کمک کرده‌اند، پاداشی برابر با ۱۰ درصد از دارایی‌هایی که موفق به بازگرداندن آن‌ها شده‌اند، تعلق خواهد گرفت. این پاداش به صورت توکن‌های مشابهی که بازگردانده شده‌اند، پرداخت می‌شود تا ارزش آن‌ها حفظ شود و فرآیند توزیع عادلانه باشد.

پروتکل بالانسر برای اطمینان از سلامت و امنیت این فرآیند، تدابیر امنیتی دقیقی را اندیشیده است. توافق‌نامه Safe Harbor بالانسر، قبل از پرداخت پاداش‌ها، احراز هویت کامل، بررسی‌های KYC (شناسایی مشتری) و همچنین بررسی‌های مربوط به تحریم‌ها را الزامی می‌داند. این اقدامات برای جلوگیری از پول‌شویی و اطمینان از اینکه وجوه به اشخاص یا نهادهای نامعتبر پرداخت نمی‌شود، حیاتی هستند. بنیاد بالانسر پیشاپیش فرآیندهای انطباق (compliance) را برای هکرهای کلاه سفید درگیر انجام داده است، با این حال، هویت این افراد به دلایل امنیتی و حفظ حریم خصوصی محرمانه باقی خواهد ماند. این رویکرد نشان‌دهنده تعادل بین امنیت، انطباق قانونی و احترام به مشارکت‌کنندگان در اکوسیستم بلاکچین است.

بازگشت وجوه توسط تیم‌های داخلی و پروتکل

علاوه بر تلاش‌های هکرهای کلاه سفید، بالانسر همچنین به صورت داخلی و با هماهنگی با تیم‌هایی مانند Certora، به بازیابی وجوه اقدام کرده است. پیشنهاد جدید بالانسر چگونگی برخورد با این وجوه بازیابی‌شده داخلی را نیز مشخص می‌کند. از آنجایی که Certora تحت یک توافق‌نامه خدمات جاری با بالانسر فعالیت می‌کرده است، این بازیابی‌ها خارج از برنامه پاداش هکرهای کلاه سفید قرار می‌گیرند. به جای پرداخت پاداش، توکن‌های بازیابی‌شده به صورت مستقیم به استخرهای (pools) متأثر بازگردانده خواهند شد. این روش تضمین می‌کند که دارایی‌ها به سرعت و کارآمد به منبع اصلی خود بازگردند و ارائه‌دهندگان نقدینگی بتوانند به آن‌ها دسترسی پیدا کنند.

همچنین، لازم به ذکر است که StakeWise نیز به صورت جداگانه و با تلاش‌های داخلی خود، حدود ۱۹.۷ میلیون دلار دارایی شامل osETH و osGNO را پس از حادثه بازیابی کرده است که این فرآیند نیز در دست بررسی و توزیع قرار دارد. این بازیابی‌های پروتکلی و هماهنگ، بخش مهمی از استراتژی کلی بالانسر برای مدیریت بحران و بازگرداندن اعتماد به پلتفرم خود را تشکیل می‌دهند. توقف فوری استخرهای آسیب‌دیده توسط بالانسر نیز از جمله اقدامات پروتکل-سطح بود که برای مهار خسارات بیشتر و جلوگیری از دست رفتن سرمایه‌های بیشتر انجام شد.

سازوکار بازپرداخت به ارائه‌دهندگان نقدینگی

طرح بازپرداخت بالانسر جزئیات دقیقی را در مورد نحوه دریافت بازپرداخت‌ها توسط ارائه‌دهندگان نقدینگی (LPs) ارائه می‌دهد. وجوه به صورت "تناسبی" (pro-rata) بازپرداخت خواهند شد، به این معنی که سهم هر LP از دارایی‌های بازیابی‌شده، متناسب با میزان توکن‌های BPT (Balancer Pool Token) آن‌ها در زمان‌های مشخص شده است. این زمان‌ها دقیقاً قبل از اولین تراکنش‌های اکسپلویت در هر شبکه (که به عنوان "snapshot blocks" شناخته می‌شوند) ثبت شده‌اند. این روش، انصاف و برابری را در توزیع تضمین می‌کند و اطمینان می‌دهد که هر کاربر بر اساس میزان مشارکت واقعی خود در استخر، سهم خود را دریافت می‌کند.

یکی از جنبه‌های کلیدی این توزیع، ماهیت "غیر اجتماعی" (non-socialized) بودن آن است. این بدان معناست که دارایی‌های بازیابی‌شده هر استخر، تنها به ارائه‌دهندگان نقدینگی همان استخر تعلق می‌گیرد. این رویکرد از مخلوط شدن وجوه استخرهای مختلف جلوگیری کرده و شفافیت و دقت در بازپرداخت را افزایش می‌دهد. علاوه بر این، پرداخت‌ها به صورت "عینی" (in-kind) انجام خواهد شد، یعنی کاربران دقیقاً همان توکن‌هایی را که نجات یافته‌اند، دریافت خواهند کرد. این امر از نوسانات قیمت جلوگیری کرده و اطمینان می‌دهد که کاربران ارزش واقعی دارایی‌های خود را بازپس می‌گیرند. یک رابط کاربری برای ادعای وجوه (claim interface) ساخته خواهد شد و کاربران برای دریافت وجوه خود باید با شرایط و ضوابط بالانسر موافقت کنند. هر گونه دارایی ادعا نشده پس از پایان پنجره ادعا، از طریق یک رأی‌گیری حاکمیتی بعدی، مسیر جدیدی پیدا خواهد کرد. این مکانیسم نشان‌دهنده تمرکز بالانسر بر حاکمیت غیرمتمرکز و تصمیم‌گیری جمعی در موارد حساس است.

نحوه بازپرداخت به تأمین‌کنندگان نقدینگی

در دنیای پرشتاب بلاکچین و دیفای (DeFi)، مواجهه با حملات سایبری و اکسپلویت‌های فنی، هرچند ناخوشایند، بخشی از واقعیت است. پروتکل Balancer، یکی از بازیگران اصلی در حوزه کریپتو، پس از یک اکسپلویت در نسخه ۲ خود، با چالش بزرگی روبرو شد که منجر به از دست رفتن بخش قابل توجهی از دارایی‌های تأمین‌کنندگان نقدینگی (LPs) گردید. در واکنش به این حادثه، Balancer یک پیشنهاد جامع برای بازپرداخت به تأمین‌کنندگان نقدینگی متضرر ارائه کرده است که گام عملی اولیه این پروتکل برای حل و فصل خسارات محسوب می‌شود. این طرح نه تنها بر تعهد Balancer به بازیابی و جبران خسارت تأکید دارد، بلکه نشان‌دهنده اهمیت شفافیت و حاکمیت در اکوسیستم دیفای است.

در تاریخ ۳ نوامبر، Balancer مورد حمله قرار گرفت و بیش از ۱۲۸ میلیون دلار در شبکه‌های اتریوم و چندین شبکه لایه ۲ به دلیل یک نقص در محاسبات دقت در پول‌های نسخه ۲ آن، از دست رفت. مهاجم با دستکاری موجودی توکن‌ها، یک حلقه آربیتراژ سودآور ایجاد کرد که در عرض چند دقیقه پول‌ها را تخلیه نمود. اگرچه بیشتر دارایی‌های دزدیده شده به سرعت از طریق میکسرها منتقل شدند، اما واکنش‌های هماهنگ هکرهای کلاه سفید (Whitehat) و مداخلات در سطح پروتکل، از ضررهای عمیق‌تر جلوگیری کرد. اکنون، با بازیابی حدود ۸ میلیون دلار از دارایی‌های نجات‌یافته توسط تیم‌های داخلی و کلاه سفید، Balancer به دنبال اجرای یک طرح بازپرداخت ساختاریافته است.

سازوکار توزیع دارایی‌های نجات‌یافته

برنامه پیشنهادی Balancer جزئیات دقیقی در مورد نحوه توزیع وجوه بازیابی شده ارائه می‌دهد. این وجوه به دو دسته اصلی تقسیم می‌شوند: دارایی‌های بازیابی شده توسط هکرهای کلاه سفید و دارایی‌هایی که توسط تیم‌های داخلی پروتکل نجات یافته‌اند. Balancer اعلام کرده است که حدود ۸ میلیون دلار از دارایی‌ها پس از اکسپلویت در چندین شبکه مختلف ایمن شده‌اند، در حالی که ۱۹.۷ میلیون دلار اضافی مرتبط با توکن‌های osETH و osGNO توسط StakeWise به طور جداگانه در حال پردازش است که نشان‌دهنده همکاری‌های گسترده‌تر در جامعه وب۳ برای مقابله با چنین حوادثی است.

برای هکرهای کلاه سفید که در طول حمله مداخله کردند، طرح پاداشی برابر با ۱۰ درصد از دارایی‌هایی که به بازیابی آنها کمک کرده‌اند، در نظر گرفته است. این پاداش به صورت همان توکن‌هایی که بازگردانده‌اند، پرداخت خواهد شد. اما نکته حائز اهمیت اینجاست که برای دریافت این پاداش‌ها، هکرهای کلاه سفید باید الزامات سخت‌گیرانه توافقنامه Safe Harbor Balancer را رعایت کنند. این الزامات شامل تأیید کامل هویت، غربالگری KYC (احراز هویت مشتری) و بررسی‌های تحریمی است. بنیاد Balancer تأیید کرده است که مطابقت با این الزامات برای کلاه سفیدهای درگیر قبلاً انجام شده است، اما هویت آن‌ها محرمانه باقی خواهد ماند. این فرآیند امنیتی و احراز هویت قوی، نمونه‌ای از بهترین شیوه‌ها در حوزه امنیت سایبری و مالی است.

در مورد وجوه بازیابی شده داخلی که با هماهنگی Certora ایمن شده‌اند، رویکرد متفاوتی اتخاذ شده است. از آنجایی که Certora تحت یک قرارداد خدمات جاری عمل می‌کرده است، این بازیابی‌ها خارج از برنامه پاداش کلاه سفید قرار می‌گیرند. در عوض، این توکن‌ها مستقیماً به پول‌های آسیب‌دیده بازگردانده خواهند شد، که فرآیند را برای تأمین‌کنندگان نقدینگی ساده‌تر می‌کند و بازگشت سریع‌تر دارایی‌ها را تضمین می‌نماید.

چگونگی بازپرداخت به تأمین‌کنندگان نقدینگی

قلب برنامه بازپرداخت Balancer، مکانیسم توزیع دارایی‌ها به تأمین‌کنندگان نقدینگی متضرر است. این طرح بر اصول انصاف و تناسب بنا شده و چندین نکته کلیدی را در بر می‌گیرد:

• بازپرداخت متناسب (Pro-rata): تأمین‌کنندگان نقدینگی بازپرداخت‌ها را بر اساس سهم متناسب دریافت خواهند کرد. این سهم بر اساس میزان دارایی‌های BPT (Balancer Pool Token) آنها در زمان اسنپ‌شات (Snapshot) بلوک‌ها، دقیقاً قبل از اولین تراکنش‌های اکسپلویت در هر شبکه، محاسبه می‌شود. این روش تضمین می‌کند که بازپرداخت‌ها دقیقاً با میزان دارایی که هر LP قبل از حمله در پول داشته است، مطابقت دارد.

• توزیع غیرمتمرکز و غیر اجتماعی (Non-socialized distribution): به این معنی که دارایی‌های بازیابی شده هر پول، فقط به LPهای همان پول تعلق می‌گیرد. این رویکرد از اشتراک‌گذاری ضرر یا سود بین پول‌های مختلف جلوگیری می‌کند و مسئولیت‌پذیری را در سطح هر پول حفظ می‌نماید. این امر می‌تواند برای تأمین‌کنندگان نقدینگی در پول‌های با ضرر کمتر یا بازیابی بیشتر، مزیت محسوب شود.

• پرداخت به صورت عین (In-kind payments): پرداخت‌ها به صورت "عین" انجام خواهد شد، یعنی کاربران همان توکن‌هایی را که نجات یافته‌اند، دریافت خواهند کرد. این روش از پیچیدگی‌های تبدیل توکن‌ها و نوسانات احتمالی قیمت جلوگیری کرده و کاربران را در موقعیت اولیه خود، تا حد امکان، قرار می‌دهد.

برای تسهیل فرآیند بازپرداخت، یک رابط کاربری برای ادعا (Claim Interface) ساخته خواهد شد. کاربران برای دریافت وجوه خود باید با شرایط و ضوابط Balancer موافقت کنند. این مرحله نهایی به Balancer اجازه می‌دهد تا اطمینان حاصل کند که تمامی دریافت‌کنندگان از قوانین و مقررات پروتکل آگاه هستند. هر دارایی‌ای که پس از بسته شدن پنجره ادعا، ادعا نشده باقی بماند، از طریق یک رأی‌گیری حاکمیتی بعدی، مسیر جدیدی پیدا خواهد کرد. این مکانیسم حاکمیت غیرمتمرکز (Decentralized Governance) از مشارکت جامعه برای تصمیم‌گیری در مورد سرنوشت وجوه باقی‌مانده اطمینان می‌دهد.

اهمیت حاکمیت و آینده بازپرداخت‌ها

این طرح بازپرداخت، اکنون به مرحله بررسی جامعه (Community Review) می‌رسد و زمینه را برای رأی‌گیری حاکمیتی بعدی فراهم می‌کند. این فرآیند نشان می‌دهد که چگونه پروتکل‌های دیفای، از طریق سیستم‌های حاکمیتی خود، به مدیریت بحران‌ها و اتخاذ تصمیمات مهم می‌پردازند. مشارکت فعال جامعه بلاکچین در این مرحله حیاتی است تا اطمینان حاصل شود که تصمیمات گرفته شده، منافع تمامی ذینفعان را در نظر می‌گیرد. Balancer با این اقدامات، به دنبال بستن یکی از چالش‌برانگیزترین فصول خود در سال ۲۰۲۵ است و تلاش می‌کند تا اعتماد از دست رفته جامعه رمزارز را بازسازی کند. این رویداد همچنین یادآور ضرورت اقدامات امنیتی قوی و بررسی‌های دقیق قراردادهای هوشمند است تا از تکرار چنین حوادثی در آینده جلوگیری شود. برای تأمین‌کنندگان نقدینگی، آشنایی با نحوه کار با پروتکل‌ها و ریسک‌های مربوط به آنها، یک عنصر کلیدی در حفظ سرمایه و امنیت دارایی است.

نگاهی به جزئیات حمله ۱۲۸ میلیون دلاری

در تاریخ ۳ نوامبر ۲۰۲۵، پلتفرم بالانسر (Balancer) شاهد یکی از بزرگترین حملات تاریخ دیفای (DeFi) بود که طی آن بیش از ۱۲۸ میلیون دلار دارایی دیجیتال از شبکه‌های اتریوم و چندین شبکه لایه دوم به سرقت رفت. این رویداد، که ناشی از یک نقص فنی در قراردادهای هوشمند بالانسر V2 بود، نه تنها ضررهای مالی قابل توجهی به ارائه‌دهندگان نقدینگی (LPs) وارد کرد، بلکه اهمیت امنیت پروتکل‌ها و نیاز به مکانیزم‌های بازیابی قوی در فضای بلاکچین را بار دیگر برجسته ساخت. این حمله نشان‌دهنده پیچیدگی‌ها و ریسک‌های ذاتی در اکوسیستم مالی غیرمتمرکز است که کاربران و توسعه‌دهندگان باید به آن توجه ویژه‌ای داشته باشند. اکنون، با انتشار یک پیشنهاد جامع در انجمن حاکمیتی بالانسر، تلاش برای بازپرداخت خسارات و بازیابی اعتماد جامعه آغاز شده است.

ماهیت فنی حمله و آسیب‌پذیری‌ها

حمله به بالانسر در تاریخ سوم نوامبر صورت گرفت و ریشه در یک نقص پیچیده در «ناوردا» (Invariant) استخرهای V2 بالانسر داشت. این نقص، که به عنوان «خطای از دست دادن دقت» (precision-loss flaw) شناخته می‌شود، به مهاجم امکان داد تا با دستکاری موجودی توکن‌ها در استخرهای نقدینگی، یک حلقه آربیتراژ سودآور ایجاد کند. در واقع، مهاجم با بهره‌برداری از این باگ، قادر شد تا در عرض تنها چند دقیقه، موجودی استخرها را خالی کرده و میلیون‌ها دلار را به جیب بزند. این نوع حملات، که اغلب نیازمند درک عمیقی از مکانیک قراردادهای هوشمند و ریاضیات پشت پروتکل‌های دیفای هستند، نشان‌دهنده اهمیت بررسی‌های امنیتی دقیق و مکرر (Audits) قبل و در طول عمر یک پروتکل است. آسیب‌پذیری در ناوردا، قلب عملکرد استخرهای نقدینگی را هدف قرار داد و توانایی بالانسر برای حفظ تعادل ارزش توکن‌ها را مختل کرد. این واقعه بر ضرورت توجه به جزئیات فنی و ریاضیاتی در توسعه پروتکل‌های وب ۳ تأکید می‌کند.

ابعاد گسترده خسارات و واکنش اولیه جامعه

این حمله نه تنها از نظر فنی پیچیده بود، بلکه از نظر مقیاس مالی نیز بسیار گسترده عمل کرد. بیش از ۱۲۸ میلیون دلار دارایی از شبکه‌های مختلف از جمله اتریوم و چندین شبکه لایه دوم به سرقت رفت. مهاجمان به سرعت بخش زیادی از دارایی‌های مسروقه را از طریق میکسرها (Mixers) جابجا کردند تا ردیابی آنها دشوارتر شود. این امر نشان‌دهنده تکنیک‌های پیشرفته‌ای است که بازیگران مخرب در فضای وب ۳ برای پنهان کردن هویت و ردپای خود به کار می‌برند. با این حال، واکنش‌های هماهنگ از سوی «کلاه سفیدها» (Whitehat responders) و همچنین مداخلات در سطح پروتکل، توانست از ضررهای عمیق‌تر جلوگیری کند. به عنوان مثال، تیم StakeWise اندکی پس از حادثه حدود ۱۹ میلیون دلار در قالب osETH را بازیابی کرد. پروتکل بالانسر نیز با سرعت عمل، استخرهای آسیب‌دیده را متوقف کرد تا جلوی سرقت بیشتر گرفته شود و از تشدید بحران جلوگیری کند. این اقدامات اولیه، اگرچه نتوانست جلوی کل خسارت را بگیرد، اما بخش قابل توجهی از دارایی‌ها را نجات داد و به جامعه نشان داد که توسعه‌دهندگان فعالانه در حال مدیریت بحران هستند.

طرح جامع بازپرداخت و بازیابی اعتماد جامعه

در واکنش به این حادثه، بالانسر یک طرح بازپرداخت دقیق را در انجمن حاکمیتی خود ارائه داده است که نقطه عطف مهمی در مسیر بازیابی محسوب می‌شود. این پیشنهاد، اولین گام ملموس پروتکل برای جبران خسارات پس از یکی از بزرگترین حملات سال جاری در دیفای است. بر اساس این طرح، حدود ۸ میلیون دلار از دارایی‌های نجات یافته به ارائه‌دهندگان نقدینگی (LPs) متأثر از حمله بازگردانده خواهد شد. بالانسر تأکید کرده است که این ۸ میلیون دلار در چندین شبکه مختلف پس از حمله تأمین شده است، در حالی که ۱۹.۷ میلیون دلار دیگر مربوط به توکن‌های osETH و osGNO به صورت جداگانه توسط StakeWise در حال پردازش است. این طرح جزئیات نحوه توزیع وجوه بازیابی شده توسط کلاه سفیدها و تیم‌های نجات داخلی را به وضوح تشریح می‌کند.

بازیگران کلاه سفید که در طول حمله مداخله کردند، پاداش‌هایی معادل ۱۰ درصد از دارایی‌هایی که در بازیابی آنها کمک کرده‌اند، دریافت خواهند کرد. این پاداش‌ها به صورت «عینی» (in-kind) و با همان توکن‌هایی که بازگردانده شده‌اند، پرداخت می‌شود. توافق‌نامه Safe Harbor بالانسر تصریح می‌کند که قبل از پرداخت پاداش‌ها، احراز هویت کامل، غربالگری KYC (شناسایی مشتری) و بررسی تحریم‌ها الزامی است. بنیاد بالانسر پیش‌تر مراحل انطباق را برای کلاه سفیدهای درگیر به اتمام رسانده است، اگرچه هویت آنها محرمانه باقی خواهد ماند. وجوهی که به صورت داخلی و با هماهنگی Certora بازیابی شده‌اند، خارج از برنامه پاداش قرار می‌گیرند؛ زیرا Certora تحت یک توافق‌نامه خدماتی مداوم عمل کرده است. این توکن‌ها مستقیماً به استخرهای آسیب‌دیده بازگردانده خواهند شد.

ارائه‌دهندگان نقدینگی بازپرداخت‌ها را به صورت «تناسبی» (pro-rata) دریافت خواهند کرد که با میزان دارایی BPT (Balancer Pool Tokens) آنها در بلوک‌های اسنپ‌شات (snapshot blocks) گرفته شده درست قبل از اولین تراکنش‌های حمله در هر شبکه، مطابقت دارد. این توزیع «غیر اجتماعی» (non-socialized) خواهد بود، به این معنی که دارایی‌های بازیابی شده هر استخر فقط به LPs همان استخر تعلق می‌گیرد. پرداخت‌ها همچنین به صورت عینی (in-kind) انجام می‌شود و کاربران همان توکن‌هایی را که نجات یافته‌اند، دریافت خواهند کرد. یک رابط کاربری برای ادعا (claim interface) ساخته خواهد شد و کاربران برای دریافت وجوه باید شرایط بالانسر را بپذیرند. هر دارایی‌ای که پس از بسته شدن پنجره ادعا، ادعا نشود، از طریق یک رأی‌گیری حاکمیتی بعدی هدایت خواهد شد. این طرح بازپرداخت اکنون برای بررسی جامعه ارسال شده و زمینه را برای رأی‌گیری حاکمیتی بعدی فراهم می‌کند، چرا که بالانسر در تلاش است تا یکی از مخرب‌ترین فصول سال ۲۰۲۵ خود را به پایان برساند و اعتماد جامعه خود را دوباره جلب کند.

اقدامات اولیه بالانسر برای کنترل بحران

پروتکل بالانسر (Balancer) گامی مهم در مسیر بازیابی و جبران خسارات ناشی از حمله ۱۲۸ میلیون دلاری به پلتفرم V2 خود برداشته است. در تاریخ ۲۷ نوامبر، یک طرح جامع بازپرداخت در انجمن حکمرانی بالانسر مطرح شد که مسیر پروتکل برای رسیدگی به فاز بعدی تلاش‌های بازیابی خود را ترسیم می‌کند. این پیشنهاد، اولین اقدام ملموس بالانسر برای حل و فصل ضررهای ناشی از یکی از بزرگترین نفوذهای امنیتی در حوزه مالی غیرمتمرکز (DeFi) در سال جاری به شمار می‌رود. هدف اصلی این طرح، بازگرداندن حدود ۸ میلیون دلار از دارایی‌های نجات‌یافته به ارائه‌دهندگان نقدینگی (Liquidity Providers یا LPs) است که در جریان این بهره‌برداری آسیب دیده‌اند. این مبلغ با تلاش تیم‌های داخلی و پاسخ‌دهندگان اخلاقی (whitehat) در شبکه‌های مختلف تأمین شده است.

طرح جامع بالانسر برای بازپرداخت وجوه بازیابی شده

پیشنهاد جدید بالانسر به تفصیل نحوه توزیع وجوه بازیابی شده را تشریح می‌کند. بر اساس این طرح، مبلغ ۸ میلیون دلار از دارایی‌ها پس از بهره‌برداری، در چندین شبکه مختلف تأمین شده است. علاوه بر این، StakeWise به طور جداگانه در حال پردازش مبلغ ۱۹.۷ میلیون دلار دیگر است که به توکن‌های osETH و osGNO مرتبط است. این گام‌های فعالانه نشان‌دهنده تعهد بالانسر به جبران خسارات و حفظ اعتماد جامعه خود است. این اتفاق یک یادآوری جدی از آسیب‌پذیری‌های احتمالی در فضای نوپای DeFi است و اهمیت ممیزی‌های امنیتی دقیق و واکنش سریع به حوادث را برجسته می‌کند.

مشارکت وایتهت‌ها و تیم‌های داخلی در بازیابی

یکی از جنبه‌های کلیدی این طرح، نحوه پاداش‌دهی به وایتهت‌ها (whitehat actors) است؛ افرادی که به صورت اخلاقی و با هدف کمک به پروتکل در طول حمله مداخله کرده و به بازیابی دارایی‌ها کمک کرده‌اند. طبق این طرح، این بازیگران ۱۰ درصد از دارایی‌هایی را که در بازیابی آنها نقش داشته‌اند، به عنوان پاداش دریافت خواهند کرد که به صورت همان توکن‌های بازگردانده شده پرداخت می‌شود. با این حال، توافق‌نامه «Safe Harbor» بالانسر مستلزم تأیید کامل هویت، بررسی‌های KYC (شناسایی مشتری) و بررسی تحریم‌ها قبل از انجام هرگونه پرداخت است تا از انطباق کامل قانونی اطمینان حاصل شود. هویت وایتهت‌های درگیر محرمانه باقی خواهد ماند، اما بنیاد بالانسر قبلاً تأیید کرده است که الزامات انطباق برای آن‌ها برآورده شده است. این رویکرد، تعادلی میان پاداش‌دهی به تلاش‌های امنیتی و رعایت الزامات قانونی برقرار می‌کند.

این پیشنهاد همچنین نحوه برخورد با وجوهی را که به صورت داخلی و با هماهنگی Certora بازیابی شده‌اند، مشخص می‌کند. از آنجا که Certora تحت یک توافق‌نامه خدمات مداوم فعالیت کرده است، این بازیابی‌ها خارج از برنامه پاداش وایتهت‌ها قرار می‌گیرند. در عوض، توکن‌های بازیابی شده به صورت مستقیم به استخرهای (pools) آسیب‌دیده بازگردانده خواهند شد. این تمایز نشان‌دهنده رویکرد ساختارمند و شفاف بالانسر در مدیریت منابع مختلف بازیابی است.

مکانیزم بازپرداخت و مراحل آتی

ارائه‌دهندگان نقدینگی (LPs) بازپرداخت‌ها را به صورت متناسب (pro-rata) دریافت خواهند کرد؛ به این معنی که میزان بازپرداخت بر اساس میزان توکن‌های BPT (Balancer Pool Tokens) آنها در بلوک‌های اسنپ‌شات (snapshot blocks) قبل از وقوع اولین تراکنش‌های حمله در هر شبکه تعیین می‌شود. این توزیع به صورت «غیر اجتماعی» (non-socialized) انجام می‌شود، بدین معنا که دارایی‌های بازیابی شده هر استخر تنها به LPs همان استخر تعلق می‌گیرد. پرداخت‌ها نیز به صورت «عینی» (in-kind) خواهد بود، یعنی کاربران همان توکن‌هایی را دریافت می‌کنند که بازیابی شده‌اند. این روش اطمینان می‌دهد که بازپرداخت‌ها عادلانه و مطابق با خسارت وارده به هر LP در استخر مربوطه باشد. بالانسر یک رابط کاربری برای ادعا (claim interface) توسعه خواهد داد و کاربران قبل از دریافت وجوه خود باید با شرایط بالانسر موافقت کنند. هرگونه دارایی ادعا نشده پس از پایان پنجره ادعا، از طریق یک رأی‌گیری حاکمیتی بعدی به مسیر دیگری هدایت خواهد شد.

جزئیات حمله ۱۲۸ میلیون دلاری Balancer V2

حمله در تاریخ ۳ نوامبر رخ داد و منجر به تخلیه بیش از ۱۲۸ میلیون دلار در شبکه‌های اتریوم (Ethereum) و چندین شبکه لایه ۲ (Layer-2) شد. مهاجم با بهره‌برداری از یک نقص «از دست دادن دقت» (precision-loss flaw) در ثابت‌های استخر Balancer V2، تعادل توکن‌ها را دستکاری کرد. این دستکاری یک حلقه آربیتراژ سودآور (profitable arbitrage) ایجاد کرد که در عرض چند دقیقه استخرها را خالی کرد. آربیتراژ به فرآیند بهره‌برداری از تفاوت قیمت یک دارایی در بازارهای مختلف اشاره دارد. این حمله نشان‌دهنده پیچیدگی‌ها و آسیب‌پذیری‌های نهفته در طراحی پروتکل‌های DeFi است.

در حالی که بخش عمده‌ای از دارایی‌های به سرقت رفته به سرعت از طریق میکسرها (mixers) - ابزارهایی برای پنهان کردن منشأ و مقصد تراکنش‌ها - جابجا شدند، اما پاسخ‌های هماهنگ وایتهت‌ها و مداخلات در سطح پروتکل توانست از خسارات عمیق‌تر جلوگیری کند. به عنوان مثال، StakeWise بلافاصله پس از حادثه حدود ۱۹ میلیون دلار osETH را بازیابی کرد و بالانسر نیز با متوقف کردن استخرهای آسیب‌دیده، از گسترش بیشتر آسیب جلوگیری کرد. این اقدامات اولیه و واکنش سریع، اهمیت همکاری جامعه و پروتکل در مواجهه با بحران‌های امنیتی را نشان می‌دهد.

جمع‌بندی و توصیه‌های نهایی برای جامعه کریپتو

طرح بازپرداخت جدید بالانسر که اکنون در حال بررسی توسط جامعه است و در انتظار رأی‌گیری حاکمیتی بعدی قرار دارد، نشان‌دهنده تعهد پروتکل به جبران خسارات و بازسازی اعتماد است. این رویداد، یکی از چالش‌برانگیزترین فصل‌های سال ۲۰۲۵ برای Balancer محسوب می‌شود و می‌تواند درس‌های مهمی را برای توسعه‌دهندگان و کاربران در فضای DeFi به همراه داشته باشد. شفافیت در مدیریت بحران و مشارکت جامعه در تصمیم‌گیری‌ها، از ارکان اصلی بازیابی اعتبار در این فضا است.

برای کاربران و ارائه‌دهندگان نقدینگی در فضای کریپتو، این حادثه یک یادآوری جدی از ریسک‌های ذاتی در این اکوسیستم نوپا و پرنوسان است. همیشه توصیه می‌شود که قبل از مشارکت در هر پروتکل مالی غیرمتمرکز، تحقیقات کامل و جامعی انجام دهید (DYOR – Do Your Own Research). به دنبال پروتکل‌هایی باشید که سوابق امنیتی قوی دارند، ممیزی‌های امنیتی (audits) منظمی را توسط شرکت‌های معتبر انجام می‌دهند، و دارای برنامه‌های مدیریت ریسک و بحران شفاف هستند. همچنین، توزیع دارایی‌ها در چندین پروتکل و استفاده از راهکارهای امنیتی مانند کیف پول‌های سخت‌افزاری (hardware wallets) می‌تواند به کاهش ریسک کمک کند. امنیت سایبری در بلاکچین یک مسئولیت مشترک است و هوشیاری کاربران نقش کلیدی در حفظ سرمایه‌هایشان دارد.