원저자: Luccy, Kaori, BlockBeats

원본 편집자: Jack, BlockBeats

9월 20일, Balancer는 새로운 공격에서 238,000달러의 손실을 입었습니다. SlowMist Intelligence의 분석에 따르면 이는 BGP 하이재킹 공격으로 판단됩니다. 지갑을 연결하기 위해 웹사이트를 방문하면 피싱 공격이 발생할 수 있습니다. 이후 SlowMist MistTrack은 Balancer 공격자 수수료가 피싱 그룹 Angel Drainer로부터 나왔다고 밝혔습니다. 현재 Balancer는 프런트엔드가 보안으로 복원되었으며 다시 Balancer DAO의 통제하에 있다고 말합니다.

BGP 경로 하이재킹이라고도 알려진 BGPHijacking은 프런트엔드 공격 방법입니다. BGP 하이재킹 공격에서 공격자는 잘못된 BGP 라우팅 업데이트 정보를 보내 다른 라우터가 트래픽을 잘못된 방향으로 유도하도록 하여 트래픽을 도청, 변조 또는 방해합니다. 간단히 말해서, 웹사이트는 거래를 승인하는 스팸 이메일을 보낼 수 있었고, 악성 계약이 사용자의 자금을 모두 유용할 수 있었습니다.

이는 이전 공격과의 가장 큰 차이점이기도 합니다. 공격은 Balancer 프런트 엔드를 대상으로 했습니다.

OpCo, Orb Collective 및 성장 전략 전환 비용

이 공격 이전에 Balancer에 또 다른 중요한 소식이 있다는 점은 주목할 가치가 있습니다.4월 14일 Balancer의 서비스 제공업체인 Balancer OpCo는 두 명의 엔지니어를 해고하고 운영 예산을 삭감했다고 발표했습니다.

Balancer OpCo는 Balancer Foundation이 전체 지분을 소유한 자회사이며 Balancer에 관리 및 운영 서비스 제공업체는 물론 프런트엔드 개발 및 엔지니어링 워크플로를 제공합니다. 지난해 8월부터 올해 6월까지 밸런서 DAO에서 밸런서 OpCo가 참여한 7건의 제안서 중 5건이 승인된 것으로 나타났으며, 팀 파이낸싱 외에도 OpCo가 프라이빗 세일을 할 수 있도록 25만 BAL을 추가로 OpCo로 이관했다. 토큰. 현재 내년도 플랫폼 운영 자금 조달에 대한 제안도 예비 논의 단계에 있다.

그러나 계약의 초점이 사용자 인터페이스와 마케팅 개선으로 옮겨감에 따라 Balancer OpCo 인원이 줄어들었습니다. 이를 위해 Balancer는 파트너십, 마케팅, 통합, 설계 및 인력 운영 노력을 통해 Balancer가 플랫폼 사용자와 협력하여 Balancer 프로토콜 개발을 촉진할 수 있는 방법에 대한 메커니즘을 논의하는 전담 마케팅 팀인 Orb Collective를 설립할 것입니다. 밸런서 프로토콜 글로벌 채택률. 지난해 8월 오브 콜렉티브(Orb Collective)가 공식 출범했고, 팀은 새로운 프로모션 전략에도 암호화된 트위터 네이티브 사운드를 사용할 것이라고 밝혔습니다.

올해 4월 Balancer Governance는 Orb Collective의 예산에서 OpCo에 할당할 목적으로 2023년 2분기부터 Certora의 스마트 계약 감사 계약을 갱신하자는 제안에서 Orb Collective의 재정 계획을 업데이트했다는 점에 주목할 가치가 있습니다. Balancer 사용자 자금의 안전. 그러나 Balancer DAO 커뮤니티 구성원 중 거의 80%가 Balancer OpCo Limited의 스마트 계약 감사 수행 제안을 거부했는데, 이는 7개 제안 중 유일하게 거부된 제안이었습니다.

같은 달 코인데스크는 “DeFi 프로토콜 Balancer는 전략적 변화로 인해 예산과 인원을 삭감했습니다.기사에는 Balancer가 전략적 조정을 할 것이라고 명시되어 있습니다. 기사에 따르면 Balancer OpCo 팀은 올해 4월 20명 이상이 참석한 Discord 통화에서 회사가 엔지니어 2명을 해고하고 운영 예산을 줄였다고 밝혔습니다.

Orb Collective의 CEO인 Jeremy Musighi는 우리는 매우 기대되는 Balancer 브랜드에 대한 새로운 비전을 가지고 있습니다. 동시에 우리는 적절한 인력을 확보하기 위해 마케팅 팀에 몇 가지 변화를 가져왔습니다.라고 말했습니다. . 이 새로운 비전을 구현하기 위해. 2022년 3분기에 Orb 팀은 소셜 플랫폼, 팟캐스트, 커뮤니티 관계 유지 등에서 Balancer의 목소리를 확대하기 위해 US$76,000의 운영 예산을 신청했습니다. 4분기 예산 요청 제안서에는 하락장 주기로 인해 Orb 팀의 운영 예산이 거의 50% 감소한 48,000달러에 불과했다고 명시되어 있습니다.

동시에 팀은 이는 브랜드 전략을 개편하기 위한 것이며 앞으로는 사용자 인터페이스와 마케팅 개선에 중점을 둘 것이라고 밝혔습니다. 이 소식이 발표되었을 때 Balancer는 약간의 시장 압력에 직면했습니다. 아마도 공격자들에게 다른 방법을 찾을 수 있는 기회를 준 것이 프런트엔드 직원의 해고였을 것입니다.

이번에 Balancer의 프런트엔드가 공격을 받았는데, 이를 스마트 계약 감사 제안 실패 및 프런트엔드 직원의 해고와 연결하지 않기가 어렵습니다. 어쩌면 전략적 변화가 거짓일 수도 있고 자금이 부족하여 수익이 증가하고 지출이 감소할 때 약세장 주기가 사실일 수도 있습니다.

중앙 집중식 프런트엔드의 숨겨진 걱정

Balancer 팀 내부의 이유 외에도 이 공격은 DeFi 프로토콜의 중앙 집중식 프런트 엔드에 대한 커뮤니티의 우려를 불러일으켰습니다.

DeFi 개발 역사상 프런트엔드 공격으로 인한 손실이 발생한 경우는 드물었는데, 2021년 12월 탈중앙화 조직 Badger DAO 웹사이트의 프런트엔드 코드에 일련의 악성코드가 주입됐다. 사용자 모르게 이 작업을 수행하고, 필요한 경우 거래를 확인하고 토큰을 전송합니다. 2022년 5월 Cronos 생태학적 DEX MM.Finance는 프런트 엔드 공격을 당했으며 해커는 DNS 취약점을 사용하여 사용자로부터 200만 달러 이상의 자산을 훔쳤습니다.

마지막으로 분산형 프런트엔드가 대규모로 논의된 것은 Tornado Cash가 승인되고 프런트엔드가 금지되었기 때문입니다. 그러나 오늘날 프런트엔드 역시 보안의 압박을 받고 있습니다. 어떤 사람들은 ENS가 프런트엔드 공격에 대한 솔루션이 될 수 있다고 생각하지만 ENS 도메인 이름 확인은 중앙 집중식이므로 분권화에 대한 공격에 저항하기 위해 이를 사용하는 것은 그다지 현실적이지 않습니다.

DeFi 계약은 일단 배포되면 변조하거나 철회할 수 없으며 이론적으로 사람의 개입이 적용되지 않지만 대다수의 프런트 엔드는 여전히 전통적인 아키텍처를 통해 구현됩니다. 웹 페이지 자체는 지속적으로 진화하고 발전하고 있지만 도메인 이름, 네트워크 서비스, 서버 스토리지 서비스 등에 잠재적인 위협이 많이 있습니다. 동시에 프런트 엔드에 대한 공격은 개발자가 쉽게 무시하는 경우가 많습니다.

DeFi OG인 Balancer도 이제 프런트엔드 공격을 받고 있으며, 이에 따라 커뮤니티에서는 탈중앙화된 프런트엔드 구축을 요구하는 목소리가 나오고 있습니다. 유니스왑과 토네이도 캐시의 프론트엔드 금지로 인한 열기에 비하면 현재 우리 일반 사용자들이 프론트엔드를 해킹하기 위해 해야 할 일은 무엇인지에 대한 지속적인 탐구가 필요합니다. 암호화 산업.