在 Curve 被盗数千万美元之后,另一个老牌 DEX Balancer 也于 8 月 22 日表示多个 V2 池面临严重漏洞,建议用户立即撤回受影响的资金。与其它项目的漏洞不同,Balancer 本次并没有发生资金被盗,且团队的处理方法获得一致好评,本文将整理复盘此次事件 Balancer 团队的处理流程、影响和值得学习的地方。
漏洞事件回顾及处理流程
8 月 22 日,Balancer 团队的 Jeff Bennett 在 Balancer 论坛中发布了《在一些流动性池中发现漏洞》的文章,其中提到 Balancer Labs 收到了一份关于影响多个资金池的严重漏洞的报告,文中的要点如下:
- 没有发生资金被盗。
- 在此之前,团队已处理 80% 以上的漏洞。
- 剩余面临风险的资金仅占 Balancer TVL 的 4%。
- Emergency SubDAO 已采取行动,允许资金按比例退出,禁用了有问题的资金池。
- 将有漏洞的资金池进行标记,其中已处理的标记为「已应对」,建议提取资金或迁移到安全的流动性池;无法处理的标记为「有风险」,提醒流动性提供者尽快退出。
- 提供了个性化的页面,连接钱包即可查看自己是否有资金在发现漏洞的流动性池中,页面上详细的说明了退出的操作步骤。
看到这里,即使用户有资金在 Balancer 中,也不用太担心。团队首先稳住了大家的信心,告诉大家已经完成了大部分的工作,剩余处于风险中的资金仅占 TVL 的 4%,还没有资金被盗。
在推特上,Balancer 也说明了漏洞情况,将该推特置顶,并在下面持续对处理进展进行更新。推特中提供了直接退出的链接和论坛文章链接。8 月 23 日,该推特下又引用处理进展的更新,处于风险的资金分别降至 TVL 的 1.4% 和 0.89%,在第二次更新时,97% 最初被认为有漏洞的流动性资金都已安全。
在 GitHub 上,Balancer 按区块链区块链分类,列出了所有受影响的区块链中的资金池,并按「有风险」和「低流动性」进行了分类。其中,以太坊主网、Polygon、Arbitrum、Optimism、Avalanche、Gnosis、Fantom、zkEVM 上均有受影响的资金池,而未提到的 Base 上的资金是安全的。如下图 Optimism 中有风险的流动性池所示,用户在这里也可以很方便的判断自己的资金是否有风险。
在这里也不得不特别说一下 Balancer 准备的退出页面。虽然现在仍在进行流动性挖矿的用户大多经验丰富,但不可避免仍有少数用户在操作中可能会出现错误,而此前出现类似问题的项目可能只会提供通过区块链浏览器紧急退出的步骤。Balancer 的退出页面在连接钱包的对应网络后,首先会检查用户是否有资金处于有被禁用的流动性池中。在页面上方清楚的介绍了需要的 3 个操作步骤:1、取消 Balancer 和 Aura 中质押的 LP 代币;2、提取 Balancer 中的流动性;3、将封装资产转为基础代币。紧接着,在下方也会显示处于每一步中的资金,方便用户进行傻瓜式操作。
漏洞事件影响
从 8 月 21 日到 8 月 25 日,Balancer 在各条链上的 TVL 从 8.52 亿美元降至 6.68 亿美元,下降 21.6%。TVL 的下降发生在 8 月 22 日,后续两天略有回升。同一时期,Uniswap 和 Curve 的 TVL 并未出现下降。根据推特中提及的数据,当处于风险中的资金占 TVL 的 0.89% 时,97% 最初被认为有风险的资金已经安全,也就是 0.89% 的 TVL 约占最初有风险的资金的 3%,那么最初有风险的资金约占 TVL 的 30%。无论是仍有风险的还是已应对的,在得知消息后,都应在第一时间退出。从目前的数据看,未受影响的部分因恐慌离开的比例不高,但流动性确实有减少。
在治理代币的价格表现上,BAL 的价格从 8 月 21 日 3.66 美元的开盘价下跌至 8 月 25 日下午的 3.45 美元,下跌 5.7%。值得注意的是,8 月 23 日的收盘价甚至超过了 8 月 22 日的开盘价。Balancer 的竞争对手中,同期 UNI 的价格从 4.9 美元跌至 4.59 美元,下跌 6.3%;CRV 的价格从 0.499 美元跌至 0.445 美元,下跌 10.8%。发生漏洞的 Balancer 的治理代币反而比 Uniswap 和 Curve 跌幅更小,说明该漏洞并未影响 BAL 持有者的信心。
由于没有资金被盗,且 Balancer 团队解决问题的思路清晰,处理结果也深受好评,BAL 的价格并未受到影响。至于撤出的流动性是否迁移到 Balancer 的其它流动性池,需要看 Balancer 的激励措施。
有哪些值得学习的地方
1、漏洞赏金的重要性。根据团队「Balancer 收到漏洞报告」的说法,该漏洞可能不是 Balancer 团队自己发现的。在有漏洞赏金的情况下,漏洞发现者有更强的意愿提交漏洞获得赏金,而不是利用漏洞。
2、漏洞的公开时间。在知道该漏洞的情况下,Balancer 并未第一时间公开,而是默默做了很多工作。在公开时,80% 以上的漏洞已处理,剩余面临风险的资金仅占 Balancer TVL 的 4%,用户不会恐慌。
3、处理办法及公开的信息。在上述提到的处理流程上,Balancer 的思路非常清晰。当对外公开存在漏洞时,Balancer 详细的说明了有风险的资金比例、具体有哪些流动性池受影响、用户连接钱包即可查看自己在对应的网络中是否有资金处于风险中、提供了具体的退出步骤。而对于不应公开的信息,Balancer 并未提及,如具体是什么合约存在漏洞。这样,即使有黑客知道 Balancer 存在漏洞,想要进行攻击短时间内也不知从何处下手。
4、退出页面。对于在 Balancer 上提供流动性的用户,首先想要知道的是自己的资金是否受到影响,以及如何退出。Balancer 提供了一个傻瓜式操作的页面,当用户通过该页面提取资金时,更容易感受到这背后有一个负责任且有能力处理问题的团队。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
